PowerWare 勒索軟件假冒Locky系列惡意軟件攫取錢(qián)財(cái)

PaloAltoNetworks威脅情報(bào)小組Unit42近日宣布發(fā)現(xiàn)PowerWare（也被稱為PoshCoder）的全新變種，在有意模仿臭名昭著的Locky勒索軟件家族。PoshCoder自2014年開(kāi)始便使用PowerShell對(duì)文檔進(jìn)行加密，2016年3月報(bào)道稱其有新變種PowerWare出現(xiàn)，該惡意勒索軟件可對(duì)受害者電腦里的文件進(jìn)行加密，然后通過(guò)支付比特幣等數(shù)字貨幣的方式向受害者進(jìn)行勒索。

除了將‘.locky’作為加密過(guò)文件的擴(kuò)展名，PowerWare還使用與Locky惡意軟件家族相同的勒索信。對(duì)PowerWare來(lái)講這不是第一次模仿其他惡意軟件家族，其早期版本便使用CryptoWall惡意軟件的勒索信。此外，有些惡意軟件還會(huì)借用其他軟件的代碼，比如TeslaCrypt系列惡意軟件。

Unite42團(tuán)隊(duì)曾經(jīng)編寫(xiě)過(guò)一個(gè)名為Python的腳本，可在受害者的電腦上逐次找到帶有‘.locky’擴(kuò)展名的文件并將其還原到初始狀態(tài)。其解密版本可通過(guò)以下鏈接進(jìn)行下載(https://github.com/pan-unit42/public_tools/blob/master/powerware/powerware_decrypt.py)。

分析

對(duì)PowerWare的初步分析顯示，該樣本為.NET可執(zhí)行文件，在使用一款名為dnSpy的.NET反編譯程序?qū)ζ溥M(jìn)行細(xì)致檢查后，我們?cè)赒uestSoftware上發(fā)現(xiàn)有“PowerGUI”字樣顯示，于是我們立刻意識(shí)到這一惡意軟件使用的是PowerShell腳本編輯器，其可將PowerShell腳本轉(zhuǎn)換為Microsoft可執(zhí)行文件。

圖一，反編譯惡意軟件變種所參考的PowerGUI

圖二，反編譯主要功能

通過(guò)對(duì).NET可執(zhí)行文件進(jìn)一步檢查，我們發(fā)現(xiàn)其正在使用ScriptRunner.dll來(lái)拆包一個(gè)名為fixed.ps1的PowerShell腳本。這個(gè)拆解過(guò)的文件位于以下位置，

%USERPROFILE%\AppData\Local\Temp\QuestSoftware\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

實(shí)際上，這個(gè).NET微軟Windows可執(zhí)行文件只負(fù)責(zé)拆包某個(gè)嵌入式腳本并使用PowerShell.exe來(lái)運(yùn)行它。該腳本位于一個(gè)名為Scripts.zip的壓縮文件內(nèi)，該壓縮文件位于如下面圖三所顯示的資源節(jié)內(nèi)。

圖三，Scripts.zip內(nèi)嵌于惡意軟件資源節(jié)內(nèi)

由于Scripts.zip文件在內(nèi)嵌于惡意軟件之前未經(jīng)任何掩飾處理，借助dnSpy我們便能輕松地將其從壓縮文件中抽取出來(lái)，這有助于我們從中獲取壓縮的PowerShell腳本。

PowerShell與PoshCoder/PowerWare的變種極其相似。如圖四顯示，該樣本借助硬編碼密鑰進(jìn)行128位AES加密，可讓受害者無(wú)需支付贖金便可解密文件。這里面不包含網(wǎng)絡(luò)信標(biāo)，不會(huì)把密鑰生成的字節(jié)像某些變種那樣任意傳送。

圖四，PowerWare變種加密設(shè)置

PowerShell腳本會(huì)自動(dòng)掃描受害者的電腦，搜尋帶有以下擴(kuò)展名的文件并對(duì)其加密。

圖五，PowerWare加密的文件擴(kuò)展名

然后，PowerWare將這些加密過(guò)的文件的擴(kuò)展名修改為.locky，就像臭名昭著的Locky惡意軟件那樣。此外，PowerWare還會(huì)編寫(xiě)一個(gè)名為‘_HELP_instructions.html’的HTML文件，其與Locky系列惡意軟件在用詞上完全一致，勒索信放置于含有加密文件的文件夾中。

圖六，PowerShell編碼用于模仿Locky系列惡意軟件

在此事件中，受害者若要為此支付贖金，會(huì)被引導(dǎo)至某個(gè)網(wǎng)站，如下圖所示。該網(wǎng)站會(huì)告訴（受害者）如何購(gòu)買(mǎi)比特幣，此時(shí)我們會(huì)再次看到相關(guān)材料，充分證明這一變種所極力模仿的便是Locky系列勒索軟件。

圖七，PowerWare勒索信使用了與Locky相同的措辭

圖八，解密網(wǎng)站

解密

如上所述，由于該惡意軟件采用靜態(tài)密鑰，從而有可能對(duì)加密文件進(jìn)行解密。實(shí)際上如圖九所示，該惡意軟件只是對(duì)前面2048個(gè)字節(jié)進(jìn)行了加密。

以下截屏顯示，腳本是如何在一個(gè)受到感染的Windows電腦上運(yùn)行的。

圖九，PowerWare變種所加密的文件樣本

圖十，運(yùn)行解密腳本

我們希望該腳本能夠給那些遭受PowerWare變種影響的受害者提供幫助。

結(jié)論

盡管有跡象表明這一樣本為新型樣本，但實(shí)際上它只是我們之前發(fā)現(xiàn)的惡意軟件PowerWare系列的變種，只是與其他變種不同，它偽裝成Locky系列惡意軟件的樣子。

PaloAltoNetworks采用如下方法保護(hù)客戶免受威脅影響，

熕�有与创T褚餿砑�相关祿舷狖和IP地址，都會(huì)被準(zhǔn)確標(biāo)記為“惡意”

熕�有栽熉栦淊中琵_降難�鼻G�端E岜籛ildFire準(zhǔn)確標(biāo)記為“惡意”

熃柚鶤utoFocustag來(lái)對(duì)該系列惡意軟件進(jìn)行追蹤和識(shí)別

攻擊指示器

URLs

hxxp://bobbavice[.]top/RY.exe

hxxp://p6y5jnjxpfiibsyx.tor2web[.]org

hxxp://p6y5jnjxpfiibsyx.onion[.]to

hxxp://p6y5jnjxpfiibsyx.onion[.]cab

hxxp://p6y5jnjxpfiibsyx.onion[.]link

SHA256Hashes

RY.exe-

7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51

DroppedPowerShell

fixed.ps1

cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826

%USERPROFILE%\AppData\Local\Temp\QuestSoftware\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

WrittenFiles

_HELP_instructions.html

.locky