关于这个勒索软件的大概情况已经有很多内容分享了,我们来分析一下这个软件的“内涵”:域名生成算法,命令和控制(C&C)连接,以及文件加密。
上图就是这个Locky的解密 页。
我们发现,Locky解密 页最早出现在2月6日,可能就是Locky开始在外肆虐的起始时间。
域名生成算法
在执行域名生成算法前,Locky会调用RDTSC(读取时间标签计数器)功能来获取当前时间戳的计数,然后会基于RDTSC的结果进行模运算。如果结果小于6,它会触发域名生成算法。否则他会直接连接到一个硬编码的IP地址:
从下图可以看出Locky的域名生成算法。域名是基于受感染主机的年月日和硬编码种子值生成的。
C&C连接
初始的回连C&C是下面这个格式:
HTTP POST http://{malware C&C}/main.php
参数:
d={randomly generated victim ID}&act={ command sent to the C&C}&affid={affiliate ID}&lang={computer language}&corp=0&serv=0&os={operating system}&sp={service pack}&x64={if 64 bit}
All outbound requests of the malware to its C&C server are encrypted using the following algorithm with specific hardcoded keys (highlighted):
Locky所有到其C&C服务器的请求都是被加密的,使用下图算法并被制定了硬编码密钥(下图高亮部分):
相似地,从C&C服务器回应的流量也是加密的,在本地会被Locky使用指定算法和密钥进行解密:
C&C服务器会接受下述来自Locky的请求(在“&act=”之后的参数):
he C&C currently accepts the following requests from the malware under the
| 命令 | 目的 |
| stats&path | 在受害者PC上的被加密文件统计数据和受感染文件路径 |
| getkey | 从C&C服务器请求RSA公钥 |
| report&data | 被加密文件列表 |
| gettext&lang | 请求勒索软件文本(指定语言) |
下面的截图就是加密前的C&C连接样本:
Stats&path
下面的截图就是解密后的C&C回应流量样本(带RSA公钥):
Report&data
从上图还可以看出在每个受感染文件后面都有个反斜杠(0x5c)为定界符。
Gettext&lang
此勒索软件还能够支持勒索信息以不同的语言显示。上面被盖掉的“&lang”参数是“fr”,也就是说,我们收到的勒索信息是以法文呈现的:
文件加密:
最后,我们补充下往上已经有的 告,Locky会加密文件并放到三种不同的地方:
固定磁盘,可移动磁盘和RAM磁盘中:
结尾
基于我们上述的发现,我们相信Locky背后的操盘手是有经验的 络犯罪者。这款勒索软件的设计很像之前十分活跃的Cryptolocker勒索软件家族:有自己的域名生成算法和详细的C&C 告。
我们预测Locky这款勒索软件还会有新的变种,并可能衍生出新的家族,从而产生更大的影响。Fortinet将会持续关注这个勒索软件的发展。
Fortinet在第一时间已经捕获此病毒样本,并且已经生成签名。使用Fortinet安全产品(如FortiGate防火墙,FortiClient终端安全客户端)的用户只要将特征库更新为最新版本即可免遭此勒索软件的威胁。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!