吳明宜安全廠商趨勢科技發現一個新的勒索軟體 HavanaCrypt 冒充 Google 軟體更新 (SoftwareUpdate) App 在網路上散佈。
HavanaCrypt 有多項進階能力,包括反虛擬化檢查,使用一個微軟網頁代管服務的 IP 位址作為指揮與控制 (C&C) 伺服器,藉此躲避偵測。
趨勢科技分析 HavanaCrypt 時還發現它使用.NET System.Threading 命名空間方法功能,可佇列執行方法,並在加密檔案過程中使用開原碼密碼管理員的模組。
HavanaCrypt 是以.NET 組譯,並使用開源的代碼混淆工具 Obfuscar 保護,在執行後可隱藏其視窗,然後檢查 AutoRun 登錄檔有無「Google Update」登錄檔,若未找到就接續執行。
其次它進行反虛擬化作業,目的在 VM 中執時避免動態分析。包括 4 個階段:一、它首先檢查和 VM 相關的服務、接著找和 VM 應用程式相關的檔案、再找 VM 執行檔的檔名,最後檢查該台機器的 MAC address 。
一旦完成所有檢查,HavanaCrypt 即從微軟網頁代管服務的 IP 下載一個名為 2.txt 的檔案,將之存成.bat 檔再執行。這個批次檔包含 Windows Defender 指令,會使其跳過不偵測 Windows 及 User 目錄。接著這隻勒索軟體即終止多個執行中的行程,包括資料庫(Microsoft SQL Server 和 MySQL)應用以及微軟 Office 和 Steam 的應用程式。
接下來,HavanaCrypt 會查詢所有磁碟、刪除所有磁碟區陰影複製 (shadow copies),再使用 Windows Management Instrumentation(WMI) 辨識出系統回復執行個體,再將之刪除。之後,HavanaCrypt 會把它的執行檔丟進 ProgramData 和 StartUp(啟動)資料夾下,設為隱藏系統檔,再把一個包含關閉任務管理員功能的批次檔丟入「User Startup」資料夾下。
HavanaCrypt 會根據系統資訊,如行程核心和 ID 、處理器名稱、 socket 、主機板廠商、 BIOS 版本及產品序號等產生獨特辨識碼 (UID) 。
在加密檔案時,這隻惡意軟體利用 KeePass Password Safe 的 CryptoRandom 功能產生加密金鑰。被加密的檔案名稱都會加入.Navana 的副檔名,而且它會避免加密具有某些副檔名,或是在特定目錄下的檔案,像是 Tor 瀏覽器,顯示惡意程式作者計畫使用 Tor 網路和受害者通訊。
HavanaCrypt 還新建 foo.txt 文字檔來紀錄所有包含被加密檔的目錄,這檔案也會被加密。
研究人員卻沒看到 HavanaCrypt 的勒索信檔案。這表示這隻勒索軟體可能還在開發中。
來源:SecurityWeek