PyLocky勒索病毒分析报告

一、样本简介

近期出现了一款伪装成docx文档的新型勒索病毒，深信服EDR安全团队捕获了该样本，并对该病毒进行深入分析。

我们研究发现，该勒索病毒具有反机器学习能力，其采用 Python 语言编写，并采用PyInstaller封装，同时使用Inno Setup Installer和PyInstaller，会增加静态分析以及基于机器学习解决方案的难度。

PyLocky主要通过垃圾邮件进行传播，病毒母体伪装成docx文件图标，其攻击目标以欧州国家为主，有些变种样本，还使用了正规的数字签名，签名信息为LA CREM LTD，该勒索病毒使用RSA加密算法，加密后的文件无法还原。

在此，我们提醒用户，收到不明“文档”，不要轻易打开，谨防中招。

二、样本分析

1.勒索病毒母体，伪装成docx文件图标，如下所示：

执行之后，释放加密程序到临时目录并执行，如下所示：

2.加密程序采用Python语言编写，然后通过PyInstaller封装，提取出里面的Python脚本，如下所示：

3.通过WMI收集感染主机的系统信息，如下所示：

4.随机生成3DES文件加密密钥，如下所示：

5.然后将获取的机器信息和随机生成的3DES文件密钥Key，使用RSA算法加密并使用Base64进行编码，如下所示：

RSA加密算法，如下所示：

黑客RSA公钥，如下所示：

私钥在黑客手上，无法解密出3DES的加密的Key，导致文件加密后，没有私钥无法解密。

6.遍历磁盘信息，如下所示：

然后创建线程，对磁盘的文件进行加密，如下所示：

加密磁盘文件过程，如下所示：

7.判断文件的后缀，然后加密相应的文件，如果文件后缀名不符合，则不加密，如下所示：

会加密的文件相关后缀名，如下所示：

文件后缀名列表如下：

#一般文件

"dat", "keychain", "sdf", "vcf"

#图片文件

"jpg", "png", "tiff", "tif", "gif", "jpeg", "jif", "jfif", "jp2", "jpx", "j2k", "j2c", "fpx", "pcd", "bmp", "svg","3dm", "3ds", "max", "obj", "dds", "psd", "tga", "thm", "tif", "tiff", "yuv", "ai", "eps", "ps", "svg", "indd","pct"

#视频文件

"mp4", "avi", "mkv", "3g2", "3gp", "asf", "flv", "m4v", "mov", "mpg", "rm", "srt", "swf", "vob", "wmv"

#文档文件

"doc", "docx", "txt", "pdf", "log", "msg", "odt", "pages", "rtf", "tex", "wpd", "wps", "csv", "ged", "key", "pps","ppt", "pptx", "xml", "json", "xlsx", "xlsm", "xlsb", "xls", "mht", "mhtml", "htm", "html", "xltx", "prn", "dif","slk", "xlam", "xla", "ods", "docm", "dotx", "dotm", "xps", "ics"

#音频文件

"mp3", "aif", "iff", "m3u", "m4a", "mid", "mpa", "wav", "wma"

#程序源文件

"msi", "php", "apk", "app", "bat", "cgi", "com", "asp", "aspx", "cer", "cfm", "css", "htm", "html","js", "jsp", "rss", "xhtml", "c", "class", "cpp", "cs", "h", "java", "lua", "pl", "py", "sh", "sln", "swift","vb", "vcxproj"

#游戏文件

"dem", "gam", "nes", "rom", "sav"

#加缩文件

"tgz", "zip", "rar", "tar", "7z", "cbr", "deb", "gz", "pkg", "rpm", "zipx", "iso"

#数据文件

"ged", "accdb", "db", "dbf", "mdb", "sql", "fnt", "fon", "otf", "ttf", "cfg", "ini", "prf", "bak", "old", "tmp","torrent"

8.加密文件的过程，先读取文件数据，使用BASE64编码之后，再使用3DES算法加密数据，写入到[原文件名+.lockedfile]的文件中，加密算法如下所示：

9.同时覆盖生成一个原文件和一个[原文件名+.lockymap]的文件，用于保存勒索信息文件内容，如下所示：

原文件变成了勒索信息文件，如下所示：

10.加密后的文件变为了[原文件名+.lockedfile]，同时生成两个勒索信息文件：原文件和[原文件名.lockymap]，如下所示：

11.并在每个加密文件目录下生成勒索信息文件文件LOCKY-README.txt，分别使用英语、法语、意大利语、韩语来提示勒索信息，要求受害者使用TOR浏览器访问暗网，进行赎金交易，如下所示：

12.TOR勒索赎金网站，链接如下所示：

http://4wcgqlckaazugwzm.onion/index.php

三、解决方案

深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1.不要点击来源不明的邮件附件，不从不明网站下载软件

2.及时给主机打补丁(永恒之蓝漏洞补丁)，修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码，不要使用弱密码

6.安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能

四、相关IOC

MD5

D3D28B9665BDBC7A297E977134B90810

70F82C9FDAFBA8E6CC1C72E8748DA960

4103293B0756A28E8CA48584E3419BDF