恶意家族名称:
Rcru64
威胁类型:
勒索软件
简单描述:
Rcru64勒索病毒通常通过电子邮件附件、恶意软件下载、漏洞利用和钓鱼攻击等方式传播,它会加密受感染计算机上的文件,并要求受害者支付赎金以获取解密密钥。
恶意文件分析
恶意事件描述
深信服深盾终端实验室在近期的运营工作中,捕获了Rcru64勒索勒索家族的最新变种,通过排查发现受害主机存在异常登录,通过查看发现该主机RDP存在弱密码。故推测攻击者通过RDP入侵的方式登录主机后执行了勒索病毒,相关的样本如下所示:
恶意事件分析
样本启动后,会加密系统中的文件,并释放勒索信以诱使受害者通过勒索信中的联系方式与攻击者进行沟通及缴纳赎金,最后弹出勒索信窗口,被加密文件被重命名,文件名为hello.docx的文件被重命名为”hello.docx_[[email protected]].TGH”,勒索信文件有两类,分别为txt格式名为”Restore_Your_Files.txt”以及hta格式名为ReadMe.hta,勒索信中展示受害者可以通过邮箱与攻击者取得联系,支付方式为比特币,勒索信中并未表明赎金金额。
README.html勒索信文件内容如下所示:
Restore_Your_Files.txt文件内容如下所示:
被加密后文件系统情况:
1、勒索功能分析
判断文件类型
该文件会释放多个文件类型的文件,通过判断文件后缀来执行特定的文件,该函数的作用是获取文件句柄,并根据文件属性判断是否需要以特定方式打开文件。它首先调用sub_48B6A0函数获取文件属性,并根据文件属性判断是否需要以特定方式打开文件。如果文件名以”.exe”、”.EXE”、”.com”、”.COM”、”.bat”、”.BAT”、”.cmd”或”.CMD”结尾,则需要以特定方式打开文件。
清空Windows事件日志
该段代码的含义为:首先调用”wevtutil.exe el”命令列出系统中所有可用的事件日志,随后调用”wevtutil.exe cl”清除所有的查询到的事件日志
创建新文件
该勒索文件会释放如下文件:
释放的每个文件具体的功能如下所示:
“S-2153.bat”文件的内容如下所示,该文件的功能为执行”S-8459.vbs”批处理脚本
“S-8459.vbs”文件的内容如下所示,该文件的功能为检查当前用户的AppData文件夹中是否存在名为”S-6748.bat”的批处理文件,如果存在,则运行该批处理文件。
“S-6748.bat”文件内容如下所示,该文件的功能为检查系统中是否已经运行了名为”dcdcf”的进程,如果没有,则删除所有的卷影副本,然后启动名为”[email protected]”的进程,并检查该进程是否正在运行。如果该进程正在运行,则等待15秒,否则继续执行后续操作。
SysMain.sys文件内容如下,该文件内容经过base64编码,解码后为X.509证书的内容,X.509证书是一种数字证书,用于验证公钥的身份和完整性,可以提高其欺骗性和可信度。
该文件的功能为删除名为”Microsoft_Auto_Scheduler”的计划任务,并删除两个文件”S-8459.vbs”和”S-2153.bat”,最后删除自身。
勒索样本复制自身至 C:UsersJohnAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup目录下,并重命名为Xinfecter.exe,该文件与文件名[email protected]的哈希一致,可断定为同一文件
创建计划任务
该命令为创建一个名为 “Microsoft_Auto_Scheduler” 的计划任务,该任务将每6分钟运行一次指定的批处理文件 “C:Users%username%AppDataS-2153.bat”
下图表示一条包含多个命令的批处理命令,其意义如下:
a. reg.exe add "HKLMSoftwarePoliciesMicrosoftWindows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f:在注册表中添加一个名为"DisableAntiSpyware"的DWORD值,将其值设置为1,以禁用Windows Defender的反间谍软件功能。
b.reg.exeADDHKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f:在注册表中添加一个名为"EnableLUA"的DWORD值,将其值设置为0,以禁用用户账户控制(UAC)。
c. vssadmin.exe Delete Shadows /All /Quiet:删除所有卷影副本。
d. wmic shadowcopy delete:删除所有卷影副本。
e. netsh advfirewall set currentprofile state off:关闭Windows防火墙。
f. netsh firewall set opmode mode=disable:禁用Windows防火墙。
g. netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes:启用网络发现规则。
h. wbadmin delete catalog -quiet:删除Windows备份目录中的所有备份。
终止服务
下图代码是用来关闭一系列占用文件的进程相关的命令。具体来说,它使用了Windows的taskkill命令来终止与数据库、文本编辑、浏览器、邮箱等相关的进程和服务。
主机信息查询
该样本执行如下命令来获取主机信息,借以判断是否运行在虚拟化环境中。
执行的命令及注释如下所示:
echo %date%-%time% //获取当前的日期和时间
systeminfo|find /i "os name" //查看操作系统的名称
systeminfo|find /i "original" //查询Windows操作系统上计算机的原始安装日期和时间
ver //显示当前正在运行的操作系统版本号
针对文件后缀、文件名、目录选择是否加密
针对如下后缀进行加密:
避免加密的文件名如下所示:
遍历一个目录下的文件并对文件名进行一些处理。具体来说,代码中使用了一些Windows API函数,如FindFirstFileW、FindNextFileW和FindClose,来遍历目录下的文件。在遍历过程中,对每个文件名进行一些处理,如判断文件名是否以”.msi”、”.scr”、”_Eg”等结尾,以及是否包含特定的字符串。如果文件名符合要求,则执行一些操作,否则跳过该文件。最后,释放一些内存空间。
避免加密的目录如下所示:
写入勒索信
如下截图为html格式的勒索信
如下截图为写入文本格式的勒索信
弹出勒索信文件内容窗口
"C:WindowsSysWOW64mshta.exe" "C:UsersJohnDesktopReadMe.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}
加密算法
1) 遍历文件和文件夹,首先通过判断文件名是否包含 “_[ID-“和_Mail-“来判断文件是否加密,随后判断当前要加密的文件后缀是否在加密后缀名单中,如果在则进行加密。
2) 生成AES密钥和IV:勒索软件生成一个随机的AES密钥和一个随机的IV(Initialization Vector)作为加密文件的参数。这些参数被硬编码在勒索软件的代码中。
3) 使用AES加密文件:勒索软件使用生成的AES密钥和IV对目标文件进行加密。
4) 使用RSA加密AES密钥和IV:勒索软件使用RSA公钥加密生成的AES密钥和IV。其中将加密后的AES密钥附加到被加密的文件中,以便在解密时使用。
5) 将被加密的文件添加扩展名”_[[email protected]].TGH”。
6) 生成勒索信息:加密操作完成后,在各个文件夹下创建勒索信
IOCS
ATT&CK
解决方案
处置建议
1、避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫。
2、重要的数据最好双机备份或云备份。
深信服解决方案
【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,设置相应的防护策略,获取全方位的勒索防护;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】Rcru64最新变种来袭
