利用“永恒之蓝”漏洞的Yatron勒索软件

一款名为Yatron的勒索软件在推特上宣称要利用EternalBlue和DoublePulsar漏洞感染其他计算机，如72小时内不付款还将删除加密文件。

Yatron的勒索软件

开发者推文

与其他勒索软件一样，该软件执行时也会扫描计算机中的目标文件、并对其进行加密，并将扩展名“.Yatron ” 附加到加密文件，如下图：

加密的Yatron文件

完成加密文件后，它会将加密密码和唯一ID发送回勒索软件的命令和控制服务器。根据Gillespie的说法，这个勒索软件基于HiddenTear，但其加密算法已被修改，因此无法使用当前方法对其进行解密。

一旦加密完成，事情开始变得更有趣。

Yatron里所含代码使用“永恒之蓝”和“DoublePulsar”漏洞传播到Windows设备上，与早就该修补的SMBv1漏洞用了同一个 络，所幸利用代码不够完整、目前还不包括所赖的Eternalblue-2.2.0.exe和Doublepulsar-1.3.1.exe可执行文件。

但是，一些代码尝试配置变量来执行下图中的利用命令。

配置多个变量进行漏洞利用

如所需的可执行文件已经存在于计算机上，勒索软件便尝试触发，如下图：

执行永恒之蓝利用命令

除利用漏洞之外，Yatron还尝试通过通过P2P程序将勒索软件可执行文件复制到Kazaa，Ares，eMule等程序使用的默认文件夹进行传播，在这些程序启动时，勒索软件自动通过P2P客户端共享。

P2P共享

完成后，勒索软件会显示一个72小时倒计时的界面，直到加密文件被删除。为防止文件被删除，用户可以使用像Process Explorer这种工具以管理员身份运行，终止勒索流程。

Yatron勒索软件

作为RaaS推广

Yatron被推广为Ransomware-as-a-Service，但其与大多数RaaS服务的做法略有不同。 通常情况下，当想要加入RaaS的犯罪分子时，开发人员会收取所有提交的赎金付款的收益分成。例如，一些RaaS服务将收取所有赎金支付的20％，而同伙/分销商获得剩余的80％；而Yatron开发商与另一款名为“Jokeroo”的RaaS一样，以100美元的比特币出售，之后不再付费。

Yatron RaaS服务

与所有RaaS产品一样，Yatron承诺提供FUD可执行文件，其可加密计算机及删除卷影副本。此勒索软件还通过P2P，USB和LAN进行传播。