Satan勒索病毒再次变种 V4.2来袭

2018-10-25   

威胁等级：★★★★★
Satan勒索病毒最新变种，与之前版本最大的区别在于加密函数，旧版本使用windows api RC4算法加密，新版本使用开源的AES加密算法实现加密。病毒运行后先向服务器发送加密指令，并以最快速度加密所有重要文件，继而勒索受害者。

背景介绍

2018年7月Satan勒索V3版本出现后，瑞星在第一时间研究出了此病毒的解密方法，病毒后续又更新了两个小版本也都被解密。此后Satan勒索病毒沉寂了一段时间，近日此病毒又出现了新版本，和之前的版本主要区别是加密部分发生了一些变化。此外此版本加密后缀变为了 . sicck

图：勒索界面

病毒攻击视频：

查杀病毒视频：

拦截病毒视频：

技术分析

加密器运行后 创建互斥体，如果存在则退出，防止运行多个实例相互干扰。

图：创建互斥体

否则开始执行恶意行为

首先算出一个本机的 HardWareID ，并写入到temp\SSession文件中

图：释放SSession文件

图：释放的的HardWareID

在C盘根目录 释放勒索文件

图：释放勒索信息

图：勒索信息

病毒作者用心险恶，为了以最快速度加密完成受害者最重要的文件，把加密过程分成了几步。

首先给服务器发送ST消息，应该是Start的简写，意思是开始加密.

然后 加密BK类型 从作者的命名和加密的文件类型可以猜测，BK应该是Backup的简写，意思是加密bak 、zip、 rar、 7z等常见的备份文件和压缩包，此类型对于工作最重要。

然后加密DB类型 ，DB一般是数据库的简称 包括 mdf 、ldf、 myd 、myi、frm、dbf等格式的文件。

最后加密ALL，也就是加密所有文件，只要不在排除类型列表中的文件，就会被加密。

图：分步加密受害者文件

加密函数中判断磁盘驱动器类型，如果是硬盘则开始进入加密流程。

图：获取磁盘信息

首先判断是否为系统文件和病毒文件，如果不是再加密，防止加密系统文件导致系统无法正常运行。

图：排除指定文件

防止加密病毒释放的文件，无法继续加密和攻击

图：排除指定文件

满足条件，则创建线程开始加密

图：创建线程开始加密

进入加密线程之后，首先修改文件名，追加上勒索邮箱和病毒后缀 sicck

图：修改文件名，追加勒索后缀

之后根据文件大小不同 设置不同的标志位，决定了加密文件的大小。对于常见的比较重要的办公文档、源代码文件等全部加密，对于其它文件则根据文件大小决定 加密二分之一 五分之一不等，从而提高加密速度。

图：分类型加密

此版本和旧版本最大的区别在于加密函数，旧版本使用windows api RC4算法加密，新版本使用开源的AES加密算法实现加密。

图：加密算法

密钥由四部分组成，依次分别如下：

（1）随机生成的HardWareID （同一批被加密的文件相同，追加到被加密文件末尾）

（2）随机生成的 PUBLIC（每个文件不同，追加到被加密文件末尾）

（3）病毒硬编码的二进制数据（同一个样本加密的文件都相同，硬编码在样本中）

（4）病毒硬编码的字符串（同一个样本加密的文件都相同，硬编码在样本中）

图：密钥构成

加密完成之后，最后弹出勒索信息

图：弹出勒索界面

被加密文件后缀变为了.sicck

图：被加密文件后缀示例

从被加密文件中可以看到 此病毒为satan勒索4.2版本

图：被加密文件末尾追加的信息

防范措施

1、更新永恒之蓝漏洞补丁

2、及时更新web漏洞补丁，升级web组件

3、开启防火墙关闭445端口

4、安装杀毒软件保持监控开启

5、安装瑞星之剑勒索防御软件