勒索软件Cerber和TeslaCrypt的区别-------典型的勒索软件家族

　　CryptoLocker

　　图10 CryptoLocker感染分布图

　　2013年9月是勒索软件历史的关键时期，因为CryptoLocker诞生了。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式感染用户的勒索软件。CryptoLocker感染快速蔓延，因为威胁利用了现有的Game Over Zeus僵尸网络基础设施。在2014年的Operation Tovar终止了Game Over Zeus Trojan和CryptoLocker活动。

　　CryptoLocker利用AES-256来加密特定扩展名的文件，然后使用C&C服务器生成的2048位RSA秘钥来加密AES-256位密钥。攻击者威胁称如果在三天内没有收到钱他们将删除私钥。

　　CryptoLocker感染在2013年10月达到峰值，当时它月感染大约15万台计算机。当用户感染CryptoLocker时，CryptoLocker首先会将自身以随机名称保存到%AppData%或%LocalAppData%路径，然后创建以下注册表键实现自启动：

　

　KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　"CryptoLocker"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"*CryptoLocker"

　　KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　"CryptoLocker_"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"*CryptoLocker_<version_number"，<p=""style="padding:0px">

　　根据Microsoft的文档描述，在默认情况下当计算机以安全模式启动时会忽略Run项，在RunOnce项下，如果在值名称前加入*会使程序即使在安全模式下也运行，CryptoLocker正是利用了这一点使自身在安全模式下也能随系统启动运行。

　　CryptoLocker通过劫持扩展名exe的执行程序来使用户运行可执行程序时先执行"C:\Windows\SYsWOW64\cmd.exe"/C

　　"C:\Windows\Sysnative\vssadmin.exe"DeleteShadows/All/Quiet来删除卷副本。

　　CryptoLocker在加密用户文件前首先会构造请求连接远程服务器，其中请求格式为version=&id=&name=&group=&lid=，该请求中包括了CryptoLocker的版本、ID、用户名及系统语言。



　　CryptoLocker的C&C采用了硬编码的IP地址及DGA算法生成的域名，首先CryptoLocker会尝试用硬编码的IP地址进行连接，如果连接不成功，则使用DGA算法生成的域名进行连接。

　　当CryptoLocker成功连接到C&C后，会从C&C接收RSA公钥，并将该公钥保存在注册表HKEY_CURRENT_USER\Software\CryptoLocker下，该注册表键还会保存CryptoLocker的版本及提示信息。然后CryptoLocker生成一个AES密钥用来加密硬盘中以*.odt,*.ods,*.odp,*.odm,*.odc,*.odb,*.doc,*.docx,*.docm,*.wps,*.xls,*.xlsx,*.xlsm,*.xlsb,*.xlk,*.ppt,*.pptx,*.pptm,*.mdb,*.accdb,*.pst,*.dwg,*.dxf,*.dxg,*.wpd,*.rtf,*.wb2,*.mdf,*.dbf,*.psd,*.pdd,*.pdf,*.eps,*.ai,*.indd,*.cdr,*.jpg,*.jpe,*.jpg,*.dng,*.3fr,*.arw,*.srf,*.sr2,*.bay,*.crw,*.cr2,*.dcr,*.kdc,*.erf,*.mef,*.mrw,*.nef,*.nrw,*.orf,*.raf,*.raw,*.rwl,*.rw2,*.r3d,*.ptx,*.pef,*.srw,*.x3f,*.der,*.cer,*.crt,*.pem,*.pfx,*.p12,*.p7b,*.p7c.为扩展名的文件，加密完成后CryptoLocker会利用从服务器获取到的RSA公钥加密AES密钥，并把加密结果保存到被加密文件的头部。

　　CryptoLocker会将加密的文件路径及名称存储在注册表键HKEY_CURRENT_USER\Software\CryptoLocker\Files下。
 

　　图11 CryptoLocker月感染量

　　CTB-Locker

　　与过去其他变体不同，CTB-Locker直接与Tor中C2服务器通信，而不是具有多层基础设施。CTB-Locker在运行时会一直保持静默状态，直到用户的所有文件被加密，并通过Tor将密钥相关数据上传到远程服务器后，才会向用户显示警告，用户必须支付比特币才能获得解密密钥。

　　从采用的技术上来说，CTB-Locker会通过创建计划任务，来实现自启动，而且该勒索软件在运行过程中会判断vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程是否存在，来阻碍分析。CTB-Locker的加密目标包括上百种文件，其中有：pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb

　　,mdf,dbf,sql,md,dd,dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,bay,blend,cdr,crw,dcr,dng,eps

　　,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,r3d,raf,sr

　　f,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb

　　,abu,config,rgx。

　　CTB-Locker会将待加密的文件以后缀名。tmp移动到临时目录下面，然后根据文件的时间和系统时间等，构造缓冲区，并计算该缓冲区的SHA256值，以该值作为会话私钥，使用ECDH算法产生一个会话公钥，再与配置文件中的主公钥使用ECDH算法生成会话共享密钥，对会话共享密钥计算SHA256并将这个值作为AES加密的key，对文件进行加密。

　　图12 CTB-Locker勒索软件

　　TeslaCrypt

　　TeslaCrypt也出现在2015年，这可能是持续威胁，因为开发人员制作出了四个版本。它首先通过Angler漏洞利用工具包来分发，之后再通过其他方式来分发。TeslaCrypt利用AES-256来加密文件，使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层，包括代理服务器。TeslaCrypt本身非常先进，其包含的功能可允许在受害者机器保持灵活性和持久性。

　　TeslaCrypt在原有勒索软件技术上加入了反调试、反沙箱技术以及防篡改保护。

　　TeslaCrypt通过检测URLReader2接口来检测当前是否运行在沙箱中，如果被检测到在沙箱环境中运行，则退出进程。

　　图13 检测代码

　　每200毫秒，TeslaCrypt会枚举所有正在运行的进程，查找当前系统中是否存在taskmgr、procexp、regedit、msconfig、cmd进程，如果发现以上进程，则使用Terminate Process函数终止。

　　TeslaCrypt加密的文件格式如下：

　　图14 TeslaCrypt加密的文件格式列表

　　TeslaCrypt在运行过程中会将C&C解密，构造连接字符串，尝试连接，其中连接字符串为Sub=（命令）&dh（master_key_pub）&addr=%s&size=（未知）&version=（病毒版本信息）&OS=（操作系统信息）&ID=（硬编码，未知）&inst_id=（随机值system.bin文件中的前8字节）。

 

　　图15 C&C列表

　　Locky

　　Locky是迄今为止最流行且最大胆的勒索软件家族之一，该勒索软件于2016年2月被发现，Locky通过网络钓鱼活动及利用Dridex基础设施快速传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者发现受感染医疗机构很快就支付赎金，这一发现导致包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播。截止2016年4月，Locky的感染活动已经席卷全球，2016年4月Locky的地理位置分布情况如下所示：

　　图16 2016年4月Locky感染分布图【图片来源：securelist】

　　Locky通过使用RSA-2048和AES-128算法对100多种文件类型进行加密，并且在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。为了防止受害系统通过卷影副本进行系统还原，Locky同CTB-Locker一样，会调用vssadmin.exe删除全盘所有卷影副本，值得一提的是Locky同时也是第一款添加了中文提示的比特币勒索软件。当Locky感染主机后，会向C&C服务器发送被感染机器的主机信息，并从C&C服务器下载RSA公钥，为文件加密做准备。Locky使用卷信息的GUID的md5值作为感染主机标识，构造连接字符串并将连接字符串加密，向C&C请求加密密钥，连接字符串为“id=感染标识&act=命令&affid=未知&lang=语言版本&corp=未知&serv=未知&os=操作系统&sp=补丁包&x64=是否为64位。”

　　Locky在连接C&C时还采用了域名生成算法，当该勒索软件与C&C进行通信时，会使用rdtsc函数获取当前处理器时间，并与勒索软件内部某变量进行求余，通过该值来决定是直接访问样本中的硬编码IP地址，还是使用算法生成的域名，通过加入域名生成算法，Locky的C&C将更不容易识别。

　　图20 IP和域名生成逻辑

　　域名生成算法（DGA）指的是编译到恶意软件可执行文件中，根据用户输入的值计算域名的算法。可以将输入的值看作加密密钥或者算法的种子，如果不知道种子和算法，就无法预测出恶意软件将会联系到哪个域名，该样本使用的种子为被感染机器的年月日以及硬编码值。

　　图21 DGA域名生成算法

　　Locky的控制命令如下：

　　Cerber

　　Cerber因为其独特的赎金索要通知方式而著称。多数勒索软件通过文字讯息索要赎金，而Cerber却独树一帜，通过语音通知受害人。但犯罪手法依然不变：支付赎金，然后恢复文件。

　　对比其他勒索软件，Cerber勒索软件增加了新的功能。首先，Cerber通过电子邮件附件的形式进入受害者计算机。一旦被打开，就像其他勒索软件一样加密文件并向受害者索要赎金。同时，它会进一步确认计算机联网状态，并将受感染的计算机用于其他目的。例如，实施分布式拒绝服务攻击或作为垃圾邮件程序使用。

　　Cerber因为其独特的赎金索要通知方式而著称。多数勒索软件通过文字讯息索要赎金，而Cerber却独树一帜，通过语音通知受害人。但犯罪手法依然不变：支付赎金，然后恢复文件。

　　对比其他勒索软件，Cerber勒索软件增加了新的功能。首先，Cerber通过电子邮件附件的形式进入受害者计算机。一旦被打开，就像其他勒索软件一样加密文件并向受害者索要赎金。同时，它会进一步确认计算机联网状态，并将受感染的计算机用于其他目的。例如，实施分布式拒绝服务攻击或作为垃圾邮件程序使用。