在这篇文章中,我们将涵盖锁定的芭蕾舞演员勒索制造器。Locky Bart的开发人员已经拥有2个非常成功的赎金软件活动,名为“锁定”和“锁定v2”。在某些用户报告被锁定BART感染后,我们调查了它,以找到更大的知识和对此新版本的差异。

Locky Bart Ransomware具有与其前辈不同的新功能。它可以加密机器,而无需与互联网任何连接。它还具有更快的加密机制。

我们的研究还将表明,Locky Bart的后端基础设施可能由不同的威胁演员而不是原始版本维护。虽然恶意二进制的内部结构占据了大量的相似之处,但有一些显着的差异。

这些包括:在应用程序代码中注释,但更值得注意的是后端服务器中使用的软件。

这并没有令人惊讶,因为众所周知,网络罪犯分享,租用,卖,甚至彼此窃取恶意代码。

锁定巴特二进制分析

在先前的化身中,Locky Bart使用了更简单的加密过程。它们枚举针对加密的文件,每个都在密码保护的zip存档中放置,并重复此过程,直到所有文件加密。创建者没有使用AES ZIP保护,而是一种较旧的算法,并且因为这是,研究人员能够进行解密应用。

Locky Bart执行一组相当直接的一组操作,以加密受害者的文件。它们如下:

  • 使用vssadmin擦除系统恢复点。
  • 生成种子以创建要加密用户文件的密钥。
  • 枚举它想要加密的文件,跳过某些文件夹以加速它。
  • 使用生成的密钥加密枚举文件。
  • 加密用于使用主密钥加密文件的密钥,现在成为受害者的“UID”用于识别它们。
  • 在桌面上创建一个赎金通知,链接到一个支付页面和他们的“UID”。

用于生成种子的函数,该函数用于创建用于加密文件的密钥。它使用诸如系统时间、进程ID、线程ID、进程存活时间和CPU节拍等变量来生成一个随机数。

用于枚举和加密文件的函数。

Locky Bart将在其中跳过任何带有这些字符串的文件夹。

锁定Bart目标加密的文件类型。

锁定BART用于制作赎金说明的字符串。“khh5cmzh5q7ym7th.onion”是付款服务器,以及“anoh / cz9mmlizms9k / 8huvvebf6cg1tklaaqbladagiv”是一个样本UID,它将与您发送给受害者的服务器的URL发送。请记住,UID只是可用于解密受害者文件的密钥的加密版本。

BART LOCKY获取关键的创建者是如何区分此版本的前辈。当赎金软件的受害者访问URL以进行赎金时,他们在不知不觉中向犯罪分子发送他们的解密密钥。

让我们以更粒度的方法分解过程,更好地了解它。

  • Locky Bart收集有关受害者机器的信息以创建加密密钥。
  • Locky Bart使用上一步中创建的播种项加密用户的文件。
  • 然后,使用公共/私钥对方法的公钥加密用于使用单向加密机制的原始加密的密钥加密。第二个加密的私钥驻留在恶意服务器上,从未访问受害者。
  • 然后锁定BART在受害者的计算机上生成URL。它包含托管恶意后端网站的Tor Cloaky .onion地址的链接。此URL具有其中的用户标识。此UID是原始解密密钥,以加密形式。
  • 受害者访问.onion站点,恶意服务器收获加密的UID。

这个uid对受害者没用,因为他们没有私钥来解密他们的文件。但是,勒索软件创建者的服务器确实如此,意味着他的服务器不仅可以使用UID来识别受害者,还可以在支付赎金后解密UID进入受害者的密钥。

最后,只有勒索软件创建者可以解密用户的文件,而且由于此功能,不需要访问恶意服务器以加密它们。

锁定BART软件保护技术

Locky Bart二进制二进制也使用软件保护技术。该技术被称为代码虚拟化,通过使用一个名为“的程序,添加到Locky Bart二进制文件”WPProtect.“。

这使得二进制越来越难以拆卸并使踩通过代码,一种用于了解它的技术。这种类型的软件的合法用途通常在反盗版机制中看到。这种软件的商业版的示例将是Themida.。Locky Bart的作者可能选择了这种特殊的防篡改机制,因为它是免费的,开源,并提供许多功能。这种软件保护技术采用是一种令人不安的发展。这些应用程序包括WPProtect,使逆转和分析明显更具挑战性。

Locky Bart服务器

Locky Bart的下半部分是服务器和后端。此服务器用于向受害者提供支付机制以支付赎金。

  • 接收用作付款方式的比特币。
  • 将比特币转移到其他钱包中。
  • 为受害者生成解密exe。
  • 向受害者提供解密exe的受害者。
  • 累计有关受害者的其他信息。

Locky Bart后端在一个框架上运行yii.。YII是一个最适合开发Web 2.0应用程序的高性能PHP框架。

该框架包含有关锁定巴特内部运作的丰富信息。

IIII调试面板包含有关配置服务器的广泛信息。

访问此控制面板显示:

  • 在服务器上运行的所有软件的每个配置设置,如PHP,Bootstrap,JavaScript,Apache(如果使用),Nginx(如果使用),ZIP等。
  • 每个请求都对服务器所做的,包括他们的请求信息,标题信息,正文,时间戳以及它们源自的位置。
  • 显示每个错误,跟踪和调试项的日志。
  • 所有自动电子邮件功能。
  • MySQL监控显示每次发言及其回报。

Locky Bart在MYSQL数据库中存储信息。MYSQL服务器的凭证驻留在站点的“Common”文件夹中的“Config”PHP文件中。示例路径如下所示:/srv/common/config/main-local.php.

Locky Bart服务器MySQL配置文件的内容

MySQL数据库中包含的信息包括受害者唯一标识符,加密密钥,比特币地址,付费状态和时间戳。

桌子的一小部分,在数据库中持有勒索软件信息。

Locky Bart Server还包含第二个数据库,其中包含有关裁员软件受害者的更多信息。

Locky Bart Ransomware的“Stats”表格示例。

在服务器上找到的“自述文件”文件似乎在统计数据库上详细介绍某些功能。

Locky Bart服务器包含一个“btcwrapper.php”,它使用“controller”方法,该方法公开所有其他PHP文件可以调用的BTC钱包类。此类通过用户名和密码启动与比特币服务器的连接。此类包含了在控制和使用刑事犯罪的主要BTC钱包上的完整方法,以存储所收到的所有资金。这个钱包定期清空。此类可以创建新的BTC地址,并有能力将这些钱包清空到主要钱包。还有办法检查每个受害者的付款状况。

BTCWRAPPER类调用的一些功能。

BTCWRAPPER类的前几个功能。该类使用CURL联系与块链通信的本地RAN比特币服务器。

Locky Bart服务器有2位比特币地址,受害者的付款被转移到。目前的一个:

与Locky Bart相关的目前的BTC地址在其生命中累计了7,671.60美元。

和第二个,在恶意服务器上的PHP配置中引用。

与Locky Bart相关的BTC地址也累计了457,806.06美元。

此勒索软件的服务器部分被配置为功能与合法业务非常相似。它反映了一个“支持票务部门”,用户可以联系Ransomware支持对他们可能经验丰富的任何问题。

该过程完全自动化。用户将被感染并访问该网站,因为他们的赎金笔记指示。当他们访问该站点时,服务器将生成其唯一的BTC地址并自动呈现给它们。

在此之后,如果用户决定支付赎金,但如果他们有任何疑问,他们可以真实地联系支持。

如果他们确实做出了支付的决定,他们将通过可用的许多方法进行比特币(BTC ATM,Localbit Coins - 这让您可以与当地人达到本地货币或使用银行和接线,如西联汇款,或者购买他们在线信用卡)。

一旦用户拥有由自己的BTC钱包中的勒索软件指定的金额,他们将从钱包中将钱从他们的钱包转移到支付地址为它们生成的Ransomware付款页面。

勒索软件服务器每隔几分钟就会检查是否有受害者收到了付款,以及付款是否得到了确认。一旦服务器验证了付款,它们就会在数据库中将该受害者标记为“已付”。

当受害者被标记为“付费”服务器然后生成“解密工具EXE”并在该EXE的二进制中写入用户加密密钥,并呈现将其下载到受害者的个人支付页面上的链接。后来当受害者再次检查他们的付款页面时,他们会看到链接,下载工具,并解密他们的文件。

一瞬间,受害者的解密工具的产生。

结论

这项研究锁定的Bart赎金软件展示了我们通常不会看到的赎金软件操作的景色,后端。运行这些行动的罪犯在极其专业的层面上这样做,用户应该始终努力保护自己免受这些类型的攻击。

Ransomware将继续增长并获得更高级的,用户需要确保它们以备份的形式保护,安全应用程序保护必威平台APP,并确保他们有某种类型的反赎金软件技术保护它们免受这些高级攻击。运行Malwarebytes必威平台APP的用户已经有赎金软件,因为Malwarebytes配备了我们的反赎金软件技术。