（原标题：敲诈家族再升级：改成随机后缀）

今年3月开始，勒索病毒家族开始在全球肆虐。在中国，他已成为近期敲诈大军中的“明星成员”。计算机中毒后文件后缀发生变化的受害者在各大论坛上到处都是寻求帮助。

(相关资料图)

对于贪得无厌的病毒制造者来说，变种更新的速度也是极快的，新一代的病毒——很快就会出现。但这次它不再使用标志性的系列后缀，而是将加密后的文件后缀修改为4个随机字符（数字和字母），如.w2qt等。

团队在对该病毒变种进行监测后，深入调查发现该变种的主网站被马传播，并更新了勒索软件的多语言版本（根据当地语言），并将勒索软件信息存储在后缀为 hta 的进程。此外，还增加了判断本地时间进行恶意操作、关闭数据库进程加密数据文件（去除文件占用）等新功能，但病毒操作过程又回到了更传统的傀儡模式. 以下是详细的技术分析：

一、传播方式

笔者使用一些工具来穿透易受攻击的网站，然后注入脚本，最后执行最重要的下载。

2.病毒操作流程

一个过程

如上图所示，它是一个加载器。加载器利用各种混淆技术绕过杀毒软件的特征检测，通过最外层的加载器释放解密后的文件。再次充当一层加载器，开始解密和释放。也是一层比特币敲诈者病毒，只是没有解密和发布。而是使用卸载当前的。并将其写回原处。进行PE修复后，将eip设置为进程的入口点。从而开始执行勒索软件的真正功能。

B. 过程

去掉了繁琐的加载过程，取而代之的是更传统的人偶模式：-"-""—"-"。

3.病毒分析()

A.装载机

一个。初始化结构

加载器在这个结构中动态存储初始化数据以绕过静态扫描

湾。最外面的装载机

最外层的函数如下：

1.获取数据段前4个字节的内容，这个值就是要分配的大小

2.分配大小的内存用于存储

3.将上述大小的内容从数据段首地址+4复制到

4.开始解密（2步）

第 1 步：只需添加和减去单个字符即可。

第二步：使用+4处的4个字节作为OR运算的key，用key解密

5. 跳转到入口

C。充当装载机

加载器函数如下：

和之前类似，这里只贴出一些重要的功能

1.解密功能：简单的加减和或运算

2. 跳跃：

d。充当傀儡进程

1.修复PE

2.并为编写修复后的PE

B. 文件加密

加密配置完全根据病毒内存中json中的内容进行操作。大致有以下几种：

1.文件夹黑名单（不能加密的文件/文件夹，如文件夹等）

2.语言区域黑名单（无法加密的区域，如：俄罗斯、乌克兰、比利时等东欧/中欧国家）

3、要加密的文件的后缀名（主要是一些mdb、db等数据格式的文件）

4. 加密算法和加密行为的一些配置

它们是：加密块的最大大小和加密区域的数量，最小文件大小，是否启用多线程模式加密文件，是否加密网络共享磁盘，加密文件名后缀，大小rc4 密钥、rsa 密钥大小和加密编码。

解密后我们可以知道这是一个2048位的rsa加密公钥

5.勒索的html文件和txt文件的内容也是经过加密编码的

解密后我们可以清楚的看到html标题就是勒索文件的html内容

6.行为配置、操作系统判断、端口、C&C服务器等。

分别：是否删除卷影，是否删除自身，操作系统信息，C&C服务器地址，连接成功后发送的标志，C&C服务器端口，是否发送，发送超时，感染成功后是否需要语音提示，语音提示的重复次数和语音提示的内容。

7.壁纸配置（是否需要更换壁纸、壁纸内容等），加密成功后桌面会显示勒索信息

8.文件夹白名单（必须加密的文件/文件夹，如其他文件夹）

9、TOR支付网站的加密代码和解密原文

一个。加密前的准备（信息收集）

首先，PC 使用的语言会在加密前进行判断。如果在json配置的列表中存在，则不会触发加密文件的功能。

其次，在PC端收集相关信息，使用UDP单向传输，以json配置发送到..ip的C&C服务器。发送内容的格式在 json 配置中。包含的信息大致如下：

下图是一个发送敲门的例子：

湾。加密前的准备（遍历符合要求的文件）

一、使用双管道技术收发来自cmd的命令消息

并使用命令“C:\\\wbem\wmic.exe”

要删除磁盘影子，备份无法恢复。

然后根据json配置决定是否使用多线程对文件进行加密。如果为1，则使用多线程加密来达到加速加密文件的效果。总线程数等于处理器数*2+2

接下来根据work的值判断是否遍历网络共享文件，如果work为1，则遍历。典型的共享文件。

下图是work为1时判断服务存在的依据

然后，开始遍历文件，加密白名单（json.）中的文件，避开黑名单（json.）中的文件/文件夹。符合要求的文件将被存储起来，为下一步的文件加密做准备。

C。正式加密的文件

首先，随机化目标加密文件名。

根据原始文件名的长度作为文件名，从特定字符串{az,AZ,0-9,-}生成随机字符串。并将后缀更改为 .

接下来，从文件偏移0x200处读取N个字节（N是不确定的，一般N的值为0x36），处理这N个字节，最后将它们存入一个结构体中。

根据魔术：,,

当搜索引擎启动时，您可以知道它是。

然后，启动 RC4 加密，从偏移量 0x200+N 写入文件末尾 -M 个字节。

随机生成的 16 字节 RC4 密钥

加密后的buf如下

这样，头部加密的数据结构如下图所示

末尾附加的数据（解密后的块数据）分为三部分：

1. rc4加密的第一个数据结构

加密前它的格式是这样的

2.第二块rsa 1024位加密数据结构

RSA 1024 加密

加密前它的格式是这样的

3. 加密（/key）

尾部数据块集成格式如下

加密后的文件格式如下

rsa 2048的公钥存放在json的配置中。

C. 勒索方法

创建线程从json配置文件中获取勒索文件（html/txt）的加密代码，获取私有TOR地址，解密代码，写入当前加密文件夹。获取 json 中的壁纸配置。并写桌面壁纸。最后得到json中的语音数量和语音内容。最后用女声提示你文件已加密。大意是：恭喜你，你被感染了！您需要付费才能解决问题！

勒索软件文件的线程生成功能（html/txt格式）

4.病毒分析()

基本上没有大的变化（文件加密）。主要是做一些优化工作。

A. 优化

取消了繁琐的加载过程，取而代之的是更传统的进程模式，当然为了避免杀毒软件的静态签名扫描，也有一些适当的字符串混淆。这种方法可以有效地增加调试的难度。

传统流程傀儡的大致流程如下：

->->->->->

还会判断本地时间是否为2016年，如果是2016年则进行后续的恶意操作。

这也意味着只要将机器的本地时间修改为非2016年，就不会进行后续的恶意行为。猜猜作者可能选择了一台合法/干净的计算机作为开始。

B. 数据库进程遍历

将遍历正在运行的数据库并杀死它们。数据库进程加载的数据库可以正常加密，避免文件被占用（句柄未关闭）的问题。

具体的数据库进程存在于它的json中。和类似的。

不同的是增加了一个新的配置项： . 为1时，执行遍历和查杀数据库进程的操作（常见的数据库进程有mysql,,,等）

C. 扩展随机化

相对于（后缀.），将加密文件的扩展名替换为4个随机字符（数字/字母）。例如（.qw2g 等）。可能是因为影响太大了。我要低调。

D. 友好的语言提示

将json配置中的勒索文件后缀从原来的.html改为.hta，并启动此流程显示勒索信息（根据当地语言）。

五、可预测的解密过程

勒索者收到赎金后比特币敲诈者病毒，会提供受害者的私钥，通过该私钥可以解锁尾部数据块的第三部分，获得加密后的私钥和公钥。尾部数据库的第三部分可以通过bit的私钥解锁，获取rc4的key就可以得到key。从而解锁尾部数据库的第一部分、头部数据以及中间主要通过RC4加密的部分。至此，文件解密完成。

六、防护措施

2015年以来，类勒索病毒逐渐成为我国互联网的重要威胁，病毒与安全软件的对抗不断升级。响应查漏补漏，为用户筑牢防线。可想而知，攻防对抗还将继续。

这里的团队提醒广大网友，重要数据要定期备份；及时安装操作系统、浏览器、Adobe Flash等基础软件的漏洞补丁，使大部分恶意网页或客户端的攻击免疫。另外，系统要设置显示文件后缀，其他人发送的可疑程序或脚本（如exe、scr、js等）不要双击运行，最大程度避免上当受骗程度。360安全卫士还开通了“反勒索服务”，并公开向用户承诺：在使用360安全卫士11.0版本并开通服务后，如果勒索病毒仍然无法防范，360将提供最多3个比特币（约13000元）赎金帮助用户恢复数据，

（原标题：敲诈家族再升级：改成随机后缀）