比特币勒索软件“LOCKY”分析

勒索软件“Locky”通过绑架用户数据的方式对用户进行勒索。 它通过RSA-2048和AES-128算法对100多种文件类型进行加密，并在每个加密文件存在的目录下释放一个名为_Locky_recover_instructions.txt的勒索文件。

“Locky”样本的本地行为：将自身复制到系统临时目录%Temp%，并重命名为svchost； 遍历系统中的文件，判断文件扩展名是否在样本内置列表中，如果存在，则样本进行加密操作； 在多个文件夹中创建提示文件_Locky_recover_instructions.txt； 在桌面创建文件_Locky_recover_instructions.bmp； 将该文件设置为桌面背景，提示用户如何成功恢复加密文件； 添加相关注册表项； 删除系统还原快照。

将自身复制到名为svchost.exe的%Temp%目录下，并添加启动项。

加密数百种文件类型如下：

.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop.potx.potm.pptx.pptm.std.sxd.pot.pps.sti.sxi.otp.odp.wb2.123.wks.wk1.xltx.xltm.xlsx.xlsm.xlsb.slk.xlw.xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

路径和文件名中包含以下字符串的文件未加密：

tmp、应用程序数据、AppData、Program Files (x86)、Program Files、temp、thumbs.db、$Recycle.Bin、系统卷信息、引导、Windows

“Locky”添加的注册表项：

1 2 3 4 5 6 HKCU\Software\Locky HKCU\Software\Locky\id HKCU\Software\Locky\pubkey HKCU\Software\Locky\paytext HKCU\Software\Locky\completed HKCU\Control Panel\Desktop\Wallpaper "%UserProfile %\Desktop\_Locky_recover_instructions.bmp"

删除系统还原快照

通过调用vssadmin.exe Delete Shadows /All /Quiet删除整个磁盘上的所有卷影副本，使受害系统无法通过卷影副本进行系统还原。

网络行为：

将有关受感染机器的一些信息发送到 C&C 服务器。 从C&C服务器下载RSA公钥，为后续加密做准备。 上传将被加密的文件列表。 根据系统语言从服务器获取相应的提示信息。 1.3 相关技术

1.3.1 域名生成算法

“Locky”样本会先使用函数rdtsc获取处理器时间，然后用一个变量对这个值进行求余运算。 通过判断这个值来判断样本访问的是算法生成的域名，还是直接访问样本中硬编码的域名。 IP地址。 这允许样本中存在一些随机性。

图1 域名生成算法

生成域名时，需要使用一个随机数。 随机数的计算是根据被感染机器的年月日计算的。

图2 随机值计算

1.3.2 C&C服务器

受害主机使用 HTTP Post 请求与服务器交互。 受害主机访问C&C服务器上的main.php，参数如下：

参数含义 id 随机生成的数字 act C&C 控制命令 affid 成员ID lang 计算机使用的语言 corp unknown serv 未知 os 操作系统 sp patch x64 是否为64位系统

受害主机发送的所有请求都使用样本中的硬编码密钥进行加密，加密后发送给C&C服务器。 从服务器接收到的数据包也使用特定的加密方法进行加密。 “Locky”收到加密数据后，会先进行解密操作。

部分加密数据包：

图3 数据包内容

数据包发送时加密算法：

图 4 加密算法

接收数据时，样本的解密算法：

图 5 解密算法

1.3.3 控制命令

目前已知的控制命令有四种，分别是：stats、getkey、report、gettext。

命令功能 stats 发送一些基本信息，比如：加密成功的文件数，加密失败的文件数和长度。 getkey 从服务器下载用于加密的 RSA 公钥。 报告 将加密的文件列表发送到服务器。 gettext获取提示用户如何解密的信息，C&C服务器会根据返回计算机使用的语言返回相应的语言提示信息，如：返回zh返回中文，返回en返回英文。

中文提示信息如下：

图6 提示内容

0x02 摘要

根据安天CERT目前的分析，勒索病毒“Locky”的功能与之前分析的勒索病毒[1]基本相同。 勒索软件可以给攻击者带来巨大的利益，因为它使用比特币进行交易，所以很难追踪； 用户一旦感染勒索软件，只能付费解密或丢弃这些文件。 安天CERT提醒用户，即使支付了赎金也不一定能保证被加密的文件能够完全恢复。 为防止数据被加密，应多注意勒索病毒的防御，养成良好的上网习惯，不要轻易执行来路不明的文件。

“Locky”与其他勒索软件的目的相同，都是对用户数据进行加密比特币分析工具，向用户勒索钱财。 与其他勒索病毒不同的是，它是第一个带有中文提示的比特币勒索病毒，这预示着勒索病毒作者针对的目标范围将逐渐扩大比特币分析工具，并会开发出更多本地化版本的勒索病毒。

安天CERT预测，未来中国将遭受更多类似的勒索软件攻击。 因此，如何防范勒索成为维护网络安全的重要任务之一。