概述
近日,360安全大脑监测到一款新型勒索病毒RoBaj,该病毒使用C#编写,通过暴力破解远程桌面登录密码的方式入侵系统,并手动对系统进行投毒。但不同的是,该病毒不仅提供中文勒索信息,还感染了蠕虫病毒,具备蠕虫功能。这也让受害者面临的威胁和损失倍增。360高级威胁防御
目前研究分析中心已破解该病毒,如有用户被感染,请联系我们解密。
攻击流程
该病毒采用了典型的勒索病毒攻击手法,在拿下目标后,攻击者会先投放横向移动工具,如Netpass64.exe、Windows密码破解器等,并创建后门账号供后续使用:
之后会进一步横向渗透,扩大攻击范围,在获取核心设备或大量设备后,攻击者最终会投放勒索病毒RoBaj-S.exe实施破坏。
文件发布
当病毒RoBaj-S.exe被触发执行时,会首先释放所使用的资源文件:
其中“Description Unlock Files.exe”为锁屏及勒索提示程序,“Description Unlock Files.txt”为勒索提示文档,对应的“Description Unlock File (English).txt”标题为“English”,实际为中文版勒索信息文档。
通过对中英文版赎金信息的对比,我们可以发现,中文版赎金信息显得相当“生硬”且不自然,看起来更像是直接从英文版赎金信息“机器翻译”过来的。
代码分析
准备
在释放必要的文件之后,程序会启动在Public Docker目录下释放的system32.exe加密程序,system32.exe启动之后会等待启动参数。
输入正确的参数后,函数才会继续执行。这个设置通常用于绕过一些分析沙箱的自动检测。
之后病毒会执行Files目录下的off-task.exe程序,该程序会临时创建一个bat批处理脚本并执行,执行的批处理脚本主要作用是通过修改注册表的方式禁用taskmgr、perfmon调试器选项、UAC、系统自带的杀毒软件等一系列系统安全管理和防护功能。另外该批处理脚本还会将自身添加为启动项,保证下次开机时能继续运行。
完成上述操作后,病毒会继续遍历进程,尝试杀死除勒索信息、系统桌面和命令行宿主进程之外的所有进程。这样做的主要目的是尽可能排除其他进程的干扰,以便它能够加密尽可能多的文件。
加密
此时病毒开始进行最关键的加密过程,勒索病毒所采用的文件加密密钥由随机数生成,但病毒会将这个生成的密钥连同当前磁盘使用情况等信息一起写入文件“ent.txt”,然后使用AES对生成的密钥进行加密(加密过程采用内置固定密钥),经过Base64编码后写入“ent.ent”文件中。该文件后续并未被清除,这也给了我们破解解密病毒的机会。
接下来,程序开始遍历磁盘上的目录和文件进行加密,但排除一些特殊目录和文件扩展名。
其中排除的目录主要是重要的系统和程序目录:
- C:\Program Files
- C:\Program 文件 (x86)
- C:\Windows
- C:\ProgramData
- C:\用户\所有用户
排除的文件扩展名是典型的可执行程序扩展名。显然,病毒并不想破坏系统中程序的执行,以免过早警告受害者:
-EXE文件
-dll
接下来病毒会根据文件大小选择不同模式的AES算法对文件进行加密:对于小于10000KB的文件,病毒会采用CBC加密模式;而对于大于10000KB的文件,病毒会采用CFB加密模式。
加密完成后,文件名会添加“.Robaj”扩展名。此外,病毒还会修改桌面壁纸以及与Robaj文件图标的关联,以更显眼的方式提醒受害者其设备已受到攻击:
勒索软件赠送蠕虫,“买一送一”
值得注意的是,我们还发现勒索病毒开发者的环境似乎被Neshta蠕虫感染,病毒释放的所有可执行程序均感染了Neshta蠕虫,因此我们提醒用户,一旦发现自己遭到RoBaj攻击,除了检查并清理勒索病毒外,还需要检查可执行文件是否也感染了Neshta蠕虫。
安全提示
作为数字经济的守护者,360政企安全集团立足党政军企网络安全的刚性需求,借助360安全大脑的极致智能赋能,面向政企用户推出了360终端安全产品体系。其中,360终端安全管理系统是集杀毒和终端安全管理功能于一体的企业级安全产品,以大数据、云计算等新技术为支撑,以可靠的服务为保障。360终端安全管理系统可以有效应对此类病毒威胁。最后,面对此类勒索病毒威胁,360安全大脑给出了以下安全建议:
1、针对广大政企用户,可以安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件和数据安全,详情请咨询了解更多如何抵御木马病毒攻击;
2、对于被安全软件报告为病毒的程序,不要轻易添加信任或退出安全软件;
3.安装并确保安全软件处于开启状态,确保机器的安全防护;
如果有用户遇到这方面的困难,也可以前往或者联系360安全专家寻求帮助。
时间线