Nokoyawa是今年出现的一种新的Windows勒索软件。Fortinet捕获的最早样本编译于2022年2月,与Karma勒索病毒有很多相似之处。Karma可以通过一系列变体追溯到2019年发现的名为Nemty的勒索软件。最近发现的Nokoyawa变体重用了大量开源代码来改进自身。本文将介绍Nokoyawa勒索病毒的基本情况。与Karma不同,Nokoyawa勒索软件能够在32位/64位Windows上运行,仅发现Nokoyawa样本在64位Windows上运行。Nokoyawa提供了几个命令行参数:help:打印命令行选项列表network:加密所有驱动器和卷(本地和网络)上的文件file:加密单个文件dir:如果未提供参数,则加密指定目录和子目录中的所有文件,Nokoyawa默认加密所有本地驱动器和卷。为了保持加密速度,Nokoyawa创建了多个线程来加密没有.exe、.dll或.lnk扩展名的文件。文件名中带有NOKOYAWA的文件也会被跳过。此外,通过将名称的哈希值与样本中硬编码的哈希值列表进行比较,可以跳过某些目录及其子目录。攻击者为每个样本生成一个新的椭圆曲线加密公私钥对,然后将公钥嵌入到文件中。这样,攻击者就消除了受害者使用相同密钥解密的可能性,因为每个受害者都是独立的。被勒索软件加密的文件会附加.NOKOYAWA的扩展名,赎金信息会写入每个加密目录下的NOKOYAWA_readme.txt。抄袭能力在2022年4月发现的样本中添加了三个新功能,所有这些功能都是为了让Nokoyawa能够加密更多文件。这些功能在勒索软件中被广泛使用,但Nokoyawa才开始引入它们,试图在技术能力上赶上其他攻击者。研究人员能够确认添加的功能是从公共来源复制的,包括2021年9月泄露的Babuk勒索软件。例如,杀死进程和服务以减少被其他程序锁定的文件数量。在这一点上,Nokoyawa的代码和Babuk的完全一样。Thecodecomparisonoftheaffectedprocessisasfollows:sql.exeoracle.exeocssd.exedbsnmp.exesynctime.exeagntsvc.exeisqlplussvc.exexfssvccon.exemydesktopservice.exeocautoupds.exeencsvc.exefirefox.exetbirdconfig.exemydesktopqos.exeocomm.exedbeng50.exesqbcoreservice.exeexcel.exeinfo.exemspub.exeonenote.exeoutlook.exepowerpnt.exesteam.exethebat.exethunderbird.exevisio.exewinword.exewordpad.exenotepad.exe受到影响的服务如下所示:vsssqlsvc$memtasmepocssophosveeambackupGxVssGxBlrGxFWDGxCVDGxCIMgrDefWatchccEvtMgrccSetMgrSavRoamRTVscanQBFCServiceQBIDPServiceIntuit.QuickBooks.FCSQBCFMonitorServiceYooBackupYooITzhudongfangyusophosstc_raw_agentVSNAPVSSVeeamTransportSvcVeeamDeploymentServiceVeeamNFSSvcveeamPDVFSServiceBackupExecVSSProviderBackupExecAgentAcceleratorBackupExecAgentBrowserBackupExecDiveciMediaServiceBackupExecJobEngineBackupExecManagementServiceBackupExecRPCServiceAcrSch2SvcAcronisAgentCASAD2DWebSvcCAARCUpdateSvc样本中还使用IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE(0x53c028)控制代码的DeviceIoControlAPI将卷影副本快照的空间大小调整为1字节以删除卷影副本快照。这个技术实现好像是从公开的POC上抄来的,老样本没有删除shadowcopysnapshot的功能。但是上述功能的正常执行需要管理员权限。样本中未观察到WindowsUAC绕过的实现,攻击者可能通过其他方式获得管理员权限。勒索信息在2022年2月的样本中,受害者要求通过电子邮件联系攻击者。勒索信息在2022年4月的样本中,电子邮件被Tor替换为URL。尽管使用了相同的.onion域,但每个样本都使用ID进行唯一标识。赎金信息赎金支付访问暗网网站会进入在线聊天页面,受害者可以在该页面与攻击者进行交流并支付赎金。研究人员观察了潜在受害者和攻击者之间的对话,他们提出最多可以免费解密三个文件,证明他们能够:一个标有赎金金额的在线聊天页面,在本例中为150万美元。支持比特币和门罗币支付,攻击者提供支付后的解密工具:随着支付赎金的勒索软件越来越专业化,这种网站可能是另一种改进尝试。值得注意的是,攻击者威胁要泄露数据。但研究人员并没有在Nokoyawa的样本中发现这种能力。这很可能是攻击者的虚张声势,迫使受害者支付赎金。结语Nokoyawa勒索病毒新变种也在不断更新完善,利用开源代码更新自身功能,以较小的代价提升恶意软件的技术水平。
