近日,网络上又散播了一种勒索病毒,值得庆幸的是该病毒已被国外各大安全公司捕获,但是目前国内主流的杀毒软件中只有瑞星能将其拦截并查杀。

此次的新型病毒名为Prodecryptor勒索病毒, 此病毒的编译时间是今年的4月26日。与前段时间国外媒体报道的FilesLocker、Satyr、BlackRouter都是使用.net开发, 并且加密代码也十分相似。使用AES算法加密文件, 使用RSA算法加密秘钥, 成熟的.net加密算法库。用户一旦中毒文件将无法打开,同时病毒程序弹窗会弹出勒索窗口要求受害者通过电子邮箱联系攻击者, 支付一定数额的比特币解密。

病毒MD5值:70745C6D104C8AE717C9C3C0F315304A

技术分析

该勒索病毒依旧由.Net编写, 通过反编译可以清晰看到程序的执行逻辑:

图:清晰的执行代码

程序生成133字节的随机字符串作为AES-32bit的摘要数据块。

将作者的RSA公钥导入, 加密133字节随机字符串数据:

图:RSA加密

修改文件的扩展名为Prodecryptor:

图:修改扩展名

加密的文件格式如下:

exe, der, pfx, key, crt, csr, p12, pem, odt, sxw, stw, 3ds, max, 3dm, ods, sxc, stc, dif, slk, wb2, odp, sxd, std, sxm, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, ldf, cpp, pas, asm, cmd, bat, vbs, sch,jsp, php, asp, java, jar, class, mp3, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mp4, mkv, flv, wma, mid, m3u, m4u, svg, psd, tiff, tif, raw, gif, png, bmp, jpg, jpge, iso, backup, zip, rar, tgz, tar, bak, ARC, vmdk, vdi, sldm, sldx, sti, sxi, dwg, pdf, wkl, wks, rtf, csv, txt, msg, pst, ppsx, ppsm, pps, pot, pptm, pptx, ppt, xltm, xltx, xlc, xlm, xlt, xlw, xlsb, xlsm, xlsx, xls, dotm, dot, docm, docx, doc, ndf, pdf, ib, ibk, bkp, sdk

优先加密的路径:

C:\\Users\\mz\\Desktop

C:\\Users\\mz\\Documents

C:\\Users\\mz\\Music

C:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\History

C:\\Users\\mz\\Downloads

C:\\Users\\mz\\Pictures

C:\\Users\\mz\\Videos

C:\\Users\\mz\\Music

C:\\User\\mz

C:\\Users\\mz\\Favorites

C:\\ProgramData

C:\\Users

获得有效磁盘,对磁盘依次遍历,并加密文件:

图:遍历磁盘加密

创建CMD删除卷影拷贝, "cmd.exe /c vssadmin.exe delete shadows /all /quiet"

图:删除卷影拷贝

在所有磁盘根目录以及桌面创建勒索文本ReadME-Prodecryptor@gmail.com.txt:

图:勒索文本消息

最后, 恶意程序弹窗出一个勒索窗口:

 

防范措施:

1. 勒索病毒通常伪装为常用软件、播放器等传播,因此避免下载可疑文件

2. 对于可疑的邮件附件不要轻易打开

3. 及时安装系统补丁,更新杀毒软件病毒库

4. 不使用弱口令密码,防止被攻击者暴力破解

5. 杀毒软件保持防护开启状态