深入分析 LockCrypt——通过 RDP 勒索软件进行暴力破解

此前，我们曾报道（链接地址：）勒索软件SamSam向受害者索要高额赎金。 事实上，它并不是唯一勒索高额解密费用的勒索软件。 今年6月比特币追踪ip，一个名为LockCrypt的勒索病毒新变种首次曝光。 根据我们的检测数据，截至 10 月份，感染该恶意软件的机器数量已大幅增加。 此外，LockCrypt 软件的代码与其他勒索软件的代码几乎没有重叠。 我们现在掌握的证据表明，攻击者可能在重新投资于他们自己的勒索软件之前，先发制人地部署了更易于部署的勒索软件即服务。 目前，在美国、英国、南非、印度、菲律宾等国家也发现了感染LockCrypt的小企业。

初始感染

根据受害者报告（链接地址： ），感染源来自被 RDP 暴力破解破坏的邮件服务器（链接地址： ）。 攻击者随后通过手动“杀死”业务的关键进程，对公司造成了严重的损害。

我们发现很多相关活动（链接地址： ）来源于以下IP：

图1

目标

据受害者称比特币追踪ip，攻击者要求每台服务器支付 0.5 到 1 个比特币的赎金——也就是说，按照当时的折算价格，每台服务器需要 5,000 多美元。 另一家企业报告说，攻击者勒索了近 19,000 美元的赎金来赎回这三台机器。

在早期版本中，勒索软件信件中提供了一个比特币钱包地址（链接地址：）。 该地址在 7 月份收到了价值约 20,000 美元的比特币。

图 2 受感染机器截图

攻击概述

图3 攻击者向目标机提供的弹窗和勒索信息

LockCrypt会对文件进行加密，然后重命名文件，生成的加密文件扩展名为.lock。 另外，为了持久化，软件实现了自安装功能； 同时，为了防止受害者自行恢复加密文件，勒索软件会删除文件的相应备份（卷影副本）。

之后，它会执行一个批处理文件来杀死所有非核心进程——这是一种非常激进的防病毒和沙箱规避。

图 4

LockCrypt 然后对受感染计算机的信息进行 base64 编码，并将其发送到位于伊朗的服务器。

勒索软件泛滥？

LockCrypt 的第一个版本（链接地址：）使用了一个电子邮件地址，该地址曾经指向勒索软件 Satan，这实际上是一个易于使用的“勒索软件即服务”。

左图：勒索软件撒旦的勒索信（链接地址：）； 右图：来自勒索软件 LockCrypt 的勒索信（链接地址：）。 两者的联系方式完全一样，都是用来联系如何支付赎金的（链接地址：）。

许多人担心像 Satan 这样的勒索软件生成服务可能会导致攻击者将他们的犯罪收入重新投资到更复杂的活动中。 这种猜测不无道理，而现实或许正如人们所担心的那样。

巧合的是，在最近接受 BBC 采访时，AlienVault 也讨论了（链接地址：）勒索软件 Satan 带来的各种威胁。 以下是生成勒索病毒的具体过程：

图5 勒索病毒Satan生成页面

预防和检测

为了防止RDP暴力破解，需要做好以下几点：

为 RDP 访问强制执行复杂的密码和双因素身份验证

· 拒绝所有来自 Internet 的传入 RDP 连接

· 登录失败一定次数后，锁定相应用户

我们在下面提供了相应的检测规则、Yara 签名、文件哈希、支付电子邮件和比特币地址。

检测类似恶意行为的通用方法

尽管样本指标对于跟踪当前的恶意行为非常有用，但它们对于检测未来的恶意行为却不太有效。 下面我们展示如何使用USM Anywhere（链接地址：）检测LockCrypt：

图 6

Yara 文件检测规则

rule lockcrypt {
       $a = "taskkill /f /im bcn1.exe" nocase wide ascii
$mz = { 4d 5a }
  condition:
$mz at 0 and $a
}
rule lockcrypt_text {
        $a = "Set WhiteList=Microsoft.ActiveDirectory.WebServices.exe:cmd.exe" nocase wide ascii
        $b = "You have to pay for decryption in Bitcoins. The price dependson" nocase wide ascii
    condition:
        any of them
}

rule lockcrypt_installer_packer {
    strings:
        $a = "c:usersnachalnikdocumentsvisual" nocase wide ascii
        $b = "WshShell.Run chr(34) & "bcn1.exe" & Chr(34), 0" nocase wide ascii
    condition:
        any of them
}

比特币钱包地址

17K5weJTPyc8Ktei8c58D2jSGbXZdWXQ2f

1Nez7W9ashFL4BA7vHuA5aoaad9XtqHKCF

电子邮件地址

jekr@aol[.]com

stnsatan@aol[.]com

撒旦-Stn@bitmessage[.]ch

enigmax_x@aol[.]com

djekr@aol[.]com

jajanielse@aol[.]com

jajanielse@bitmessage[.]ch

文件散列

1df3d4da1ef11373966f54a6d67c38a223229f272438e1c6ec7cb4c1ea3ff3e2

bf80ef6cfea9478bf69f247b59d17dab9ede4b74193234168ee6e3d55dc526e1

0948390b18338b460edf60beaf1a792d1d85dab64ec59b158fa2d47e78ad4373

dc892346618f8fe561a7219a59e7c6fd2e15ff463469a29708886a23f54157b9

0ab44a962ababbf4500b335171e25d930ae3b8356a50bc547979126007aa42c0

151cf4f4c5e2a90b57af8d22e085ebc5f8927cf8b14eeaade3adb271c11eb54f

64d6cc34ad16e2ecbaf7e71573ed222cfa16b710cc6ff79ab3cc3c1c6c4b1138

D69c972d578a3d4b15158ac14600f0e996113e510a4bc9815193c9e74740e612

Cdd61a00a8175f1753b55094be506bd9fc1a6511a3f0abeeed0216b1db17e95e

Bce16a425c37d2ad3280c19d4c64bc7ed037d29dabe3e34ab4941a245cb5ec34

722df6f33a9d11d841ce399a9081bac2788ce007474b0be9ee76efbf1f5a132b

3756c1fcf3f6404582a19c5e1fd23aa043cb71e85700bdf6b0e6df80593ad565

714546c621a797743f0bce6a8843611860d3392a7f3fcff5cf661d0a6bffa78b

RDP 暴力攻击中涉及的 IP 地址

您可以在此处查看与此攻击关联的 IP 地址。

赎金信

您的所有文件都已加密！

由于您的 PC 存在安全问题，您的所有文件都已加密。 如果您想恢复它们，请写信给我们的电子邮件支持：jajanielse@aol.com 或 jajanielse@bitmessage.ch

将此 ID 写在您的消息标题中

如果在 24 小时内没有得到答复，请写信给我们这些电子邮件支持：jajanielse@aol.com 或 jajanielse@bitmessage.ch

您必须用比特币支付解密费用。 价格取决于您给我们写信的速度。 付款后，我们将向您发送解密工具，解密您的所有文件。

免费解密为保证

在付款之前，您最多可以向我们发送 3 个文件以供免费解密。 文件总大小必须小于 10Mb（非存档），并且文件不应包含有价值的信息。

（数据库、备份、大型 Excel 工作表等）

如何获得比特币

购买比特币最简单的方法是 LocalBitcoins 网站。 您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。

您还可以在此处找到其他购买比特币和初学者指南的地方：

注意力！

不要重命名加密文件。

不要尝试使用第三方软件解密您的数据，这可能会导致永久性数据丢失。

在第三方的帮助下解密您的文件可能会导致价格上涨（他们向我们收取费用）或者您可能成为骗局的受害者。

{{标识符}}

你的身份证

概括

LockCrypt 勒索软件似乎没有特定的目标——攻击者只是伺机使用 RDP 来感染某些服务器。 据观察，在攻击过程中，他们会手动与系统进行交互，以获得最佳的攻击效果。 但是，由于他们勒索的赎金太高，一些公司可能负担不起。 在文章的最后，我们提供了检测 LockCrypt 和类似恶意软件的详细信息。