危机！KeyPass勒索软件来袭

在过去的几天里，我们的反勒索软件一直在检测恶意软件的新变种 – 一款名为KeyPass的勒索软件。安全 区里的其他人也注意到这个勒索软件在8月份开始大面积传播：

来自MalwareHunterTeam的通知

传播模式

根据我们获知的信息，这一恶意软件通过下载勒索软件模块的虚假安装程序进行传播。

描述

使用C ++编写的特洛伊木马示例以MS Visual Studio进行编译，借助MFC，Boost和Crypto使用库进行开发。文件头中含有最近的编译日期。

带有编译日期的文件头

当受害者计算机启动时，特洛伊木马会将其可执行文件复制到％LocalAppData％并启动，然后从原始位置删除自动原文件。之后，它会生成自己进程的多个副本，并将加密密钥和受害者ID作为命令行参数传递。

命令行参数

KeyPass列举受感染计算机的本地驱动器和 络共享，并搜索所有文件，无论其扩展名如何。但它会跳过位于多个路径被硬编码到示例中的这些目录中的文件。

路径排除列表

每个加密文件都有一个额外的扩展名：“.KEYPASS”,且文件名为“KEYPASS_DECRYPTION_INFO!!! . txt”的赎金票据会保存在每一个曾应用过的目录中。

勒索票据

加密方案

该木马的开发人员实施了一个非常简单的方案。

这一恶意软件在CFB模式下使用AES-256对称算法，对所有文件使用零IV和相同的32字节密钥。特洛伊木马在每个文件的开头加密最多为0x500000字节（约5 MB）的数据。

实现数据加密的部分过程

启动后不久，KeyPass连接到其命令和控制（C＆C）服务器，并接收当前受害者的加密密钥和受感染ID。数据以JSON的形式通过普通HTTP进行传输。

如果C＆C是不可访问（如受感染的计算机没有连接到互联 或服务器已关闭），该木马采用了硬编码密匙和ID，这意味着在脱机加密的情况下，受害者的文件解密将是微不足道的。

图形用户界面

我们认为KeyPass木马最有趣的功能是能够采取“手动控制”。特洛伊木马包含一个默认隐藏的表单，但在按下键盘上的特殊按钮后可以显示该表单。由此可见，特洛伊木马背后的犯罪分子有可能采取手动攻击。

特洛伊木马的图形用户界面

此表单允许攻击者通过更改以下参数来自定义加密过程：

默认情况下加密中排除的路径

通过按键显示图形用户界面程序伪代码

全球受感染范围分布图