网络安全公司趋势科技(Trend Micro)于近日爆料称,几家台湾机构不幸成为了定向攻击的最新受害者——服务器遭入侵,文件被加密!
具体来讲,攻击者在拿到目标机构的Active Directory服务器访问权限后,下载并安装了一种名为“ColdLock”的新型勒索病毒,进而对受影响域下的所有计算机上的特定文件进行了加密。
技术分析
ColdLock有效载荷以.NET可执行文件(.DLL文件)的形式被下载。
分析表明,该DLL文件使用了ConfuserEx包装器进行加壳处理,而运行则涉及到使用PowerShell执行反射加载。
运行后,它首先会执行两项检查:
一是,检查赎金票据所使用的“%System Root%\ProgramData\readme.tmp”是否已经存在,以避免系统被重复感染。
二是,检查系统时间——它只会在每天的12:10之后运行。
如果时间早于12:10,则将休眠15秒,然后再次执行该项检查,直到满足上述运行条件为止。
在加密文件之前,ColdLock还会进行另外几项检查以及相应的处理。
首先,它会检查一些特定的服务(各种数据库以及Exchange邮件服务器使用的服务)是否处于运行状态,具体如下:
- mariadb
- msexchangeis
- mssql
- mysql
- oracleservice
只要有任何一项处于运行状态,它都会终止其运行。
此外,它还会终止与Outlook相关的进程。
其次,它还会检查系统上运行的Windows版本。如果运行的是Windows 10,那么它将执行多个Windows 10特定的例程,以禁用Windows Defender以及推送通知。
值得一提的是,如果目录满足以下三个条件,那么ColdLock在加密时则会排除包含括号里任何扩展名的文件(.avi、.dll、.gif、.iso、.m2ts、.mkv、.mov、.mp3、.msi、.ocx、.tmp和.wmv
):
- 目标目录下的文件数量少于100;
- 目录的最后写入时间晚于2018年1月1日;
- 目录名称不包含括号里的任何字符串(.git、appdata、cache、image、lib、log、logs、microsoft、reference、res、resource、script、setup、skin、temp、theme、third_party和thirdparty)。
如果目录仅满足部分条件或完全不满足上述三个条件,那么ColdLock则仅会加密具有如下扩展名的文件:
- .7z
- .aspx
- .bak
- .cpp
- .csv
- .doc
- .docx
- .gz
- .hwp
- .java
- .jpg
- .jsp
- .lnk
- .odt
- .one
- .php
- .ppt
- .pptx
- .pst
- .rar
- .sh
- .sql
- .txt
- .xls
- .xlsx
- .xml
- .zip
加密进程在CBC模式下运行,使用的是AES算法。文件在被加密后,将被额外添加一个“.locked”扩展名。
赎金票据将被放置在多个位置,即:
- %Desktop%\How To Unlock Files.Txt
- %System Root%\ProgramData\readme.tmp
- %User Startup%\How To Unlock Files.Txt
- {被加密的驱动器}:\How To Unlock Files.Txt
内容与其他大多数勒索病毒相似:
此外,ColdLock还会更改系统壁纸,以提醒受害者查看赎金票据。
结语
勒索病毒仍是一种挥之不去的网络威胁,尤其在这两年更是频频出现。
想要免受勒索病毒的侵害,我仍建议你这样做:
- 定期备份文件,并进行离线存储;
- 定期修补和更新应用程序、软件和操作系统,以解决所有可利用的漏洞;
- 最后也是最重要的,安装一款信得过的安全产品,并定期执行全盘扫描。