历史追溯及影响Nokoyawa是今年初出现的一种基于Windows平台开发的新型勒索病毒。最早收集到的样本编译于2022年2月,与原始勒索病毒Karma有大量代码相似之处(Karma是另一种可以追溯到Nemty的勒索病毒,Nemty在2019勒索病毒家族中被相关研究人员报告)。最近,我们获得了该勒索软件活动的一个新变种,并观察到它一直在通过重用其他勒索软件的开源代码来不断改进自身。在本文中,我们将讨论Nokoyawa勒索软件的一般行为及其最近添加的新功能,以最大限度地增加可加密的文件数量。受影响的平台:Windows受影响者:Windows用户影响:可能丢失文件严重性:中等概览本节提供了Nokoyawa如何工作的一般描述,以避免重复已发布的其他相关信息。需要注意的是,与所谓的勒索软件前身Karma不同,这款勒索软件可以在32位和64位Windows上运行,本文仅涉及64位Windows平台样本。Nokoyawa提供了几个自定义执行的命令行选项:help:打印命令行选项列表network:加密所有驱动器和卷(本地和网络)上的文件filefilePath:加密单个文件dirdirPath:加密指定目录和子目录的所有文件如果没有提供参数,Nokoyawa默认加密所有本地驱动器和卷。值得一提的是,“help”参数很有趣,因为它表明勒索软件开发人员可能与在受感染机器上部署和执行勒索软件的操作员是一个独立的团队。为了提高加密速度和效率,Nokoyawa创建了多个线程来加密不以.exe、.dll或.lnk扩展名结尾的文件。名称中带有NOKOYAWA的文件也会被跳过。此外,一些目录及其子目录通过将其名称的哈希值与硬编码的哈希值列表进行比较而被排除在加密之外。对于每个样本,勒索软件运营商都会生成一对新的椭圆曲线加密(ECC)公钥和私钥(也称为密钥对),然后将公钥嵌入到勒索软件二进制文件中。这对密钥可以被认为是支付赎金时解密文件所必需的“主”密钥。假设每个样本都针对不同的受害者部署,勒索软件运营商消除了受害者使用提供给另一个受害者的解密器的可能性,因为每个受害者都链接到一个单独的“主”密钥对。在加密每个文件之前,Nokoyawa会为每个文件创建一个新的临时密钥对(受害者文件密钥)。使用受害者文件的私钥和威胁参与者的“主”公钥,使用椭圆曲线ECDH生成一个64字节的共享秘密。此共享机密的前32个字节与硬编码的随机数“lvcelvce”一起用作加密每个文件内容的密钥。SHA1散列是根据先前生成的共享密钥和文件内容生成的,并与受害者文件的公钥和字符串“NOKOYAWA”一起附加在每个加密文件的末尾。此哈希最有可能用于在解密期间检查数据完整性。因此,需要受害者文件的公钥和勒索软件运营者拥有的“主控”私钥重新生成Salsa20密钥来解密每个加密文件。被勒索软件加密的文件会附加一个.NOKOYAWA扩展名。赎金票据被写入每个包含它的目录中的NOKOYAWA_readme.txt以进行加密。相关的勒索代码2022年4月样本包含三个新功能,以最大限度地增加Nokoyawa可以加密的文件数量。这些功能在当代勒索软件家族中已经存在,它们的加入恰恰表明Nokoyawa的开发人员正试图在技术能力上赶上其他勒索软件运营商。实验室研究人员能够确定大部分添加的代码是从公开来源复制的,包括2021年9月泄露的现已解散的Babuk勒索软件的来源。这种明显复制的一个例子是包含终止进程和减少被其他程序锁定的文件数量的服务,以便加密代码可以加密这些文件。代码(包括进程列表和服务名称)与Babuk中的实现完全匹配。图1中的图像显示了从Babuk泄露的源代码(左)和Nokoyawa的反编译代码(右)中获取的服务终止功能的比较。图1Babuk和Nokoyawa的服务查杀代码比较受Nokoyawa影响的应用程序和服务包括MicrosoftOffice应用程序、电子邮件客户端、浏览器、备份程序、安全产品和数据库服务器。它还包括用于枚举和挂载卷以加密这些卷上的文件的代码,再次重复使用从泄露的Babuk源代码中复制的确切代码。在收集的最新样本中,它通过使用带有IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE(0x53c028)控制代码的DeviceIoControlAPI将卷影副本快照的分配空间大小调整为1字节来删除卷快照。此大小太小,无法存储快照,并且会导致Windows删除它们。之前的其他研究已经报道了这种技术的使用,并且其实现似乎是从公开可用的PoC代码中复制的。上述功能需要管理员权限才能正常工作。由于我们没有观察到执行任何Windows用户访问控制(UAC)绕过的样本,因此操作员很可能在执行勒索软件之前使用其他方式升级或获得管理权限。赎金票据赎金票据以及受害者与肇事者的沟通方式在新变种中也发生了重大变化。在2022年2月的旧样本中,受害者被指示通过电子邮件联系勒索软件运营商,如图2所示:图2Nokoyawa2022年2月的赎金样本样本但是,在2022年4月的样本中,电子邮件地址已被删除。它们被替换为通过TOR浏览器通过.onionURL联系勒索软件运营商的说明。每个样本在勒索信中使用相同的.onion域,并且假定为受害者标识符的id参数对每个样本都是唯一的,如下图所示:图3.2022年4月Nokoyawa中的勒索信sampleNew赎金支付页面访问OnionURL会导致一个带有在线聊天框的页面,用于与操作员沟通以协商和支付赎金。研究人员观察了可能的受害者(公司)和勒索软件运营商(用户)之间正在进行的对话。根据这段聊天记录,威胁行为者提供了最多3个文件的免费解密,以证明他们可以解密受害者的文件,如图4所示:图4赎金支付页面“描述”页面显示赎金金额,在此案例1,500,000(可能以美元计),可以用BTC(比特币)或XMR(门罗币)支付。付款后,勒索软件运营商声称提供工具来解密受害者的文件(图5)。图5.赎金支付指导页面鉴于某些勒索软件活动越来越专业化,这个TOR站点可能是一种改进尝试,或者是一种让单独的团队处理赎金谈判的方法。有趣的是,勒索字条中包含以下信息:“联系我们达成协议,否则我们会将你的黑狗屎泄露给媒体”,暗示受害者的数据可能在感染过程中被泄露。然而,我们并没有在Nokoyawa样本中发现这种能力。事实上,除了枚举网络驱动器之外,根本没有观察到其他行为。运营商可能单独执行数据泄露,或者他们可能只是虚张声势,进一步迫使受害者支付赎金。总结在本文中,我们重点介绍了对Nokoyawa勒索软件新变种所做的改进。它还演示了威胁参与者如何通过重用开源代码以最小的努力快速向其恶意软件添加新功能。
