了解江民最新動態(tài)
2019-08-26?來源:安全資訊
1 惡意代碼概況 近期江民赤豹網(wǎng)絡(luò)安全實驗室跟蹤捕獲一款名為Syrk的開源勒索軟件,該勒索軟件針對《堡壘之夜》游戲玩家,通過偽裝成自動瞄準的外掛程序誘導(dǎo)游戲玩家下載安裝,最
近期江民赤豹網(wǎng)絡(luò)安全實驗室跟蹤捕獲一款名為“Syrk”的開源勒索軟件,該勒索軟件針對《堡壘之夜》游戲玩家,通過偽裝成自動瞄準的外掛程序誘導(dǎo)游戲玩家下載安裝,最終加密受害者的磁盤文件實現(xiàn)勒索目的,由于該游戲玩家眾多,因此受到該勒索軟件的影響范圍較大,江民網(wǎng)絡(luò)安全實驗室第一時間對捕獲的樣本進行了詳細分析,發(fā)現(xiàn)該勒索軟件具有較大缺陷,因此可以在不繳納贖金的情況下進行解密,江民赤豹網(wǎng)絡(luò)安全實驗室提醒廣大游戲用戶謹慎使用游戲輔助工具,安裝防病毒軟件并保持更新病毒庫的習(xí)慣,防止遭受惡意代碼的攻擊。
名稱:Syrk勒索軟件
類型:勒索軟件
MD5:da6b7ddd28dc387bcd10b180c9bdff58
SHA1:c29cd8c4370576afb63deea020bcafd8c0638de0
文件類型:Win32 EXE
文件大小:12849152 bytes
傳播途徑:偽裝正常文件下載傳播、USB感染傳播
影響系統(tǒng):Win7,Win8,Win10
《堡壘之夜》是一款在國內(nèi)外十分受歡迎的射擊類游戲,該系列游戲已有超過2.5億的注冊玩家數(shù)量,該游戲在國內(nèi)由騰訊代理,其熱度幾乎能與《絕地求生》游戲相媲美。
“Syrk”勒索病毒主要通過AES加密算法加密用戶特定類型的文件,偽裝游戲外掛誘導(dǎo)下載執(zhí)行,“Syrk”還會嘗試感染USB驅(qū)動器擴大傳播。“Syrk”會修改系統(tǒng)注冊表,釋放的cry.ps1腳本,加密過程中使用標準AES算法對指定類型的文件進行加密,加密密鑰使用硬編碼寫在powershell文件中,加密文件會添加后綴.Syrk;主程序中還會監(jiān)視用戶是否啟動了Taskmgr、Procmon64、ProcessHacker三個進程,阻止用戶啟動相關(guān)的進程管理工具檢查并結(jié)束勒索軟件進程。
Syrk每兩個小時刪除一次文件來誘騙用戶盡快支付贖金,啟動釋放的文件之后,主程序直接彈出勒索提示,要求用戶在2個小時之內(nèi)聯(lián)系panda831@protomail.com進行付費解密操作。
1)不從互聯(lián)網(wǎng)下載可疑的程序執(zhí)行;
2)使用USB設(shè)備前檢查拷貝的文件是否正常;
研究人員發(fā)現(xiàn),此勒索樣本存在較多缺陷,通過簡單操作可以進行解密,無需交付贖金,解密方法如下:
方法一:
由于此樣本僅僅使用了AES對稱加密算法進行加密,且密鑰直接以明文方式硬編碼在powershell腳本中,且解密腳本也嵌入在資源節(jié)中,因此最簡單的方式就是直接將資源中的解密工具復(fù)制出來雙擊即可解密;
方法二:
由于惡意代碼在編寫過程中的缺陷導(dǎo)致所要求的密碼也存放在了本地,可以通過C:\Users\Default\AppData\Local\Microsoft\-pw+.txt找到密碼實現(xiàn)解密,輸入密碼后即可正常實現(xiàn)文件解密過程;
詳細分析報告請訪問:
http://www.tlhnw.com/download/Syrk.pdf