概述勒索病毒圈内有一个任性的病毒家族撒旦。无论比特币价格如何波动,解密要价都是1BTC。此次,趁着比特币价格的回暖,Satan勒索软件推出了最新变种。通过勒索病毒提示信息,可以发现该变种已经实现了较为完整的本地化。作者会提示用户通过火币网购买比特币,或者在LocalBitcoins上安装Lantern购买,通过这些迹象猜测,一些中国黑客可能加入了撒旦团伙。加密后的文件后缀为[key].session。病毒母体为c.exe,文件编译于11月3日。勒索病毒跟踪病毒运行后,通过抓包发现会与C&C服务器111.90.159.105通信,上传加密文件信息、主机信息、病毒运行状态信息。跟踪IP后发现C&C服务器来自马来西亚。谷歌地图定位到这是吉隆坡一个叫JalanPerdana的地方。根据以上信息,我们判断这台C&C服务器极有可能只是黑客用来中转的流氓,黑客真正的藏身之地并不在这里。勒索分析病毒母体c.exe运行后,会先将自身克隆到C盘根目录,然后释放并运行勒索病毒cpt.exe、密码窃取工具mmkt.exe、blue.exe,star.exe等永恒之蓝攻击工具包。这些攻击组件在ProgramData/和AllUsers/目录下发布。病毒在传播过程中,会先使用Mimikatz窃取用户凭证(此处作者将mmkt.exe编码错误运行,故凭证未被窃取),然后调用WMIC远程下载执行病毒母体,实现勒索软件的横向传播。如果上述凭据窃取方式登录失败,将利用永恒之蓝和双脉冲星漏洞进行横向传播。代码中还发现了泛微OA的漏洞利用代码。添加注册表自启动项Win0Start,实现开机自动运行勒索病毒cpt.exe。到最后,随着大部分企业终端都打上了MS17-010补丁,病毒利用永恒之蓝漏洞传播的成功率明显下降,但慢慢地,病毒开始利用mimikatz凭证窃取横向移动,只要一个如果病毒感染了一台内网主机,它可以继续传播到具有相同密码的另一台主机。因此,建议内网终端尽量不要设置相同的密码,以免一台终端中毒,导致整个网络瘫痪。
