PowerWare 勒索軟件假冒Locky系列惡意軟件攫取錢財

PaloAltoNetworks威脅情報小組Unit42近日宣布發(fā)現(xiàn)PowerWare(也被稱為PoshCoder)的全新變種,在有意模仿臭名昭著的Locky勒索軟件家族。PoshCoder自2014年開始便使用PowerShell對文檔進行加密,2016年3月報道稱其有新變種PowerWare出現(xiàn),該惡意勒索軟件可對受害者電腦里的文件進行加密,然后通過支付比特幣等數字貨幣的方式向受害者進行勒索。

除了將‘.locky’作為加密過文件的擴展名,PowerWare還使用與Locky惡意軟件家族相同的勒索信。對PowerWare來講這不是第一次模仿其他惡意軟件家族,其早期版本便使用CryptoWall惡意軟件的勒索信。此外,有些惡意軟件還會借用其他軟件的代碼,比如TeslaCrypt系列惡意軟件。

Unite42團隊曾經編寫過一個名為Python的腳本,可在受害者的電腦上逐次找到帶有‘.locky’擴展名的文件并將其還原到初始狀態(tài)。其解密版本可通過以下鏈接進行下載(https://github.com/pan-unit42/public_tools/blob/master/powerware/powerware_decrypt.py)。

分析

對PowerWare的初步分析顯示,該樣本為.NET可執(zhí)行文件,在使用一款名為dnSpy的.NET反編譯程序對其進行細致檢查后,我們在QuestSoftware上發(fā)現(xiàn)有“PowerGUI”字樣顯示,于是我們立刻意識到這一惡意軟件使用的是PowerShell腳本編輯器,其可將PowerShell腳本轉換為Microsoft可執(zhí)行文件。

圖一,反編譯惡意軟件變種所參考的PowerGUI

圖二,反編譯主要功能

通過對.NET可執(zhí)行文件進一步檢查,我們發(fā)現(xiàn)其正在使用ScriptRunner.dll來拆包一個名為fixed.ps1的PowerShell腳本。這個拆解過的文件位于以下位置,

%USERPROFILE%\AppData\Local\Temp\QuestSoftware\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

實際上,這個.NET微軟Windows可執(zhí)行文件只負責拆包某個嵌入式腳本并使用PowerShell.exe來運行它。該腳本位于一個名為Scripts.zip的壓縮文件內,該壓縮文件位于如下面圖三所顯示的資源節(jié)內。

圖三,Scripts.zip內嵌于惡意軟件資源節(jié)內

由于Scripts.zip文件在內嵌于惡意軟件之前未經任何掩飾處理,借助dnSpy我們便能輕松地將其從壓縮文件中抽取出來,這有助于我們從中獲取壓縮的PowerShell腳本。

PowerShell與PoshCoder/PowerWare的變種極其相似。如圖四顯示,該樣本借助硬編碼密鑰進行128位AES加密,可讓受害者無需支付贖金便可解密文件。這里面不包含網絡信標,不會把密鑰生成的字節(jié)像某些變種那樣任意傳送。

圖四,PowerWare變種加密設置

PowerShell腳本會自動掃描受害者的電腦,搜尋帶有以下擴展名的文件并對其加密。

圖五,PowerWare加密的文件擴展名

然后,PowerWare將這些加密過的文件的擴展名修改為.locky,就像臭名昭著的Locky惡意軟件那樣。此外,PowerWare還會編寫一個名為‘_HELP_instructions.html’的HTML文件,其與Locky系列惡意軟件在用詞上完全一致,勒索信放置于含有加密文件的文件夾中。

圖六,PowerShell編碼用于模仿Locky系列惡意軟件

在此事件中,受害者若要為此支付贖金,會被引導至某個網站,如下圖所示。該網站會告訴(受害者)如何購買比特幣,此時我們會再次看到相關材料,充分證明這一變種所極力模仿的便是Locky系列勒索軟件。

圖七,PowerWare勒索信使用了與Locky相同的措辭

圖八,解密網站

解密

如上所述,由于該惡意軟件采用靜態(tài)密鑰,從而有可能對加密文件進行解密。實際上如圖九所示,該惡意軟件只是對前面2048個字節(jié)進行了加密。

以下截屏顯示,腳本是如何在一個受到感染的Windows電腦上運行的。

圖九,PowerWare變種所加密的文件樣本

圖十,運行解密腳本

我們希望該腳本能夠給那些遭受PowerWare變種影響的受害者提供幫助。

結論

盡管有跡象表明這一樣本為新型樣本,但實際上它只是我們之前發(fā)現(xiàn)的惡意軟件PowerWare系列的變種,只是與其他變種不同,它偽裝成Locky系列惡意軟件的樣子。

PaloAltoNetworks采用如下方法保護客戶免受威脅影響,

熕杏氪碩褚餿砑喙氐撓蠣虸P地址,都會被準確標記為“惡意”

熕性詿聳錄信齙降難荊薊岜籛ildFire準確標記為“惡意”

熃柚鶤utoFocustag來對該系列惡意軟件進行追蹤和識別

攻擊指示器

URLs

hxxp://bobbavice[.]top/RY.exe

hxxp://p6y5jnjxpfiibsyx.tor2web[.]org

hxxp://p6y5jnjxpfiibsyx.onion[.]to

hxxp://p6y5jnjxpfiibsyx.onion[.]cab

hxxp://p6y5jnjxpfiibsyx.onion[.]link

SHA256Hashes

RY.exe-

7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51

DroppedPowerShell

fixed.ps1

cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826

%USERPROFILE%\AppData\Local\Temp\QuestSoftware\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

WrittenFiles

_HELP_instructions.html

.locky


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息