1、AVCrypt概述
2018年3月22日,一款可以卸載安全軟體的勒索者病毒「AVCrypt」被研究人員發現。該勒索軟體是首個在加密磁碟文件之前先卸載安全軟體的勒索者病毒。不同於已經出現的關閉防火牆的惡意代碼,該勒索軟體可從微軟Windows作業系統的安全中心中查詢已經註冊的安全軟體並加以卸載。
雖然該樣本回傳了加密密鑰,但根據其不完整的勒索信息,安天分析人員認為其仍是開發中用以測試的半成品,其後續版本可能會具有更多的惡意功能,因此需提高警惕。
經驗證,安天智甲終端防禦系統(英文簡稱IEP,以下簡稱安天智甲)可實現對AVCrypt的有效防護。
2、AVCrypt樣本分析
2.1
樣本標籤
表2-1 二進位可執行文件
2.2
樣本功能
2.2.1 卸載安全軟體
樣本通過兩種方式卸載安全軟體,第一種是停止並刪除服務,第二種是卸載安全中心註冊的安全軟體。
停止並刪除服務
圖2-1 刪除的部分服務列表
卸載安全中心註冊的安全軟體
圖2-2 查詢註冊的安全軟體
樣本主要針對四個安全軟體,它們是:
圖2-3 主要針對的安全軟體
2.2.2 調用bcdedit等命令關閉一些系統恢復功能
樣本會調用bcdedit與一些其他命令關閉系統功能,如圖所示:
圖2-4 關閉一些系統功能
2.2.3 顯示偽裝進度條
樣本還具有顯示虛假進度條的功能:
圖2-5 顯示偽裝進度條
2.2.4 查找Tor瀏覽器
樣本遍歷系統進程,查找Tor.exe,若不存在,則加載資源並安裝Tor瀏覽器。
圖2-6 查找Tor.exe
2.2.5 使用AES-256算法加密文件
樣本使用AES-256算法加密磁碟文件,但沒有使用RSA算法加密生成的AES密鑰,如圖所示:
圖2-7 生成AES密鑰
2.2.6 回傳系統信息與密鑰
接下來會回傳系統相關信息及密鑰,還有剪切板中的內容,如圖所示:
圖2-8 回傳系統信息及密鑰
圖2-9 獲取剪切版內容
2.2.7 設置系統壁紙為藍色
最後設置系統壁紙為藍色:
圖2-10 設置系統壁紙為藍色
2.2.8 加密文件的狀態
文件被加密後文件名最前面會多一個字符「+」,如圖所示:
圖2-11 加密文件的狀態
2.2.9 勒索軟體提示信息
分析人員認為該勒索軟體是測試版的理由就是警告信息,僅僅有著「lol n」幾個字符,並沒有任何聯繫方式,如圖所示:
圖2-12 警告信息
3、防護建議
3.1
預防建議
1.及時備份重要文件,且文件備份應與主機隔離;
2.及時安裝更新補丁,避免一些勒索軟體利用漏洞感染計算機;
3.儘量避免打開社交媒體分享等來源不明的連結,給信任網站添加書籤並通過書籤訪問;
4.對非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的連結;
5.定期用反病毒軟體掃描系統,如殺毒軟體有啟發式掃描功能,可使用該功能掃描計算機。
3.2
安天智甲有效防護
經驗證,安天智甲可實現對AVCrypt的有效防護。
圖3-1 安天智甲對AVCrypt進行防禦
圖3-2 安天智甲文檔保護界面
(註:由於業內病毒命名規則各不相同,本告警中呈現的病毒名稱是依託於安天病毒命名規則。)
AVCrypt會在加密前停止部分安全軟體的服務。面對這種攻擊手段,安天智甲具有程序自保護能力。安天智甲可對自身進程和文件進行防護,通過系統驅動層的監控與防護,能夠阻止停止安天智甲服務或對安天智甲程序文件進行修改的進程。
另外,AVCrypt還會對系統註冊表項進行惡意修改。安天智甲支持對註冊表進行實時監控,當發現有程序對註冊表進行可疑操作時,會自動捕獲源文件,對源文件的特徵信息、數字籤名、向量等進行採集或提取,利用這些數據分析文件安全性,對危險性較高的文件進行告警並隔離。
安天智甲針對勒索軟體,採用多種防護機制相融合的防護方案,通過建立勒索軟體文件特徵庫、勒索軟體行為特徵庫以及文檔專屬防護模塊,使終端可以獲得對已知和未知勒索軟體的有效防護能力。
4、總結
AVCrypt勒索病毒使用了獨特的卸載安全軟體的功能,回傳系統信息及剪切板信息。從功能上來看,雖然目前為測試版本,但仍具有相當高的完成度。由於其並沒有使用RSA算法加密回傳的密鑰,該加密文件並不是完全不能解密,不過需要非常長的時間來計算。
安天將對其後續進展進行持續跟蹤分析,但對於其後續版本,做好預防工作才是重中之重。
來源:安天
編輯:劉鋮