BlackRouter勒索病毒变种再度来袭

2019-01-10   

威胁等级:★★★★
BlackRouter勒索病毒使用了成熟的.net加密库,运用AES算法加密文件、RSA算法加密 密钥,在没有攻击者私钥的情况下无法解密文件。该病毒在2018年4月份的旧版本曾伪 装为正常软件诱导受害者下载,运行之后释放出正常软件和勒索病毒,近日又捕获到新 的病毒变种,目前仍然活跃。

背景介绍

BlackRouter勒索病毒和之前报导的Satyr勒索、FilesLocker勒索 都是使用.net开发,并且加密代码复用了相似的代码,都使用了成熟的.net加密库,使用AES算法加密文件,使用RSA算法加密密钥,没有攻击者的私钥的情况下无法解密文件。此病毒在2018年4月份的旧版本曾伪装为正常软件诱导受害者下载,运行之后释放出正常软件和勒索病毒,近日又捕获到此病毒的新变种,从病毒编译日期可以发现 新版本是2019年1月6日生成,说明攻击者仍然在活跃。

病毒MD5: EBAD44D2A8C72765AA64BAE691458A34

威胁等级:4星 ★★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

通过编译时间发现,此病毒为最新更新

图:病毒编译时间

此版本使用混淆工具混淆

图:病毒被混淆

去混淆后可看到此版本仍然使用AES+RSA加密

图:病毒加密算法

病毒会加密以下后缀的文件

.exe .der .pfx .key .ico .htm .ttf .cs .vb .c .py .jar .h .plist .backup 
.aspx .js .crt .csr .p12 .pem .odt .sxw .stw .3ds .max .3dm .ods .sxc .stc 
.dif .slk .wb2 .odp .sxd .std .sxm .sqlite3 .sqlitedb .sql .accdb .mdb .dbf 
.odb .mdf .ldf .cpp .pas .asm .cmd .bat .vbs .sch .jsp .php .asp .java .pkg 
.class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .mkv .flv 
.wma .mid .m3u .m4u .svg .psd .tiff .tif .raw .gif .png .bmp .jpg .jpeg .iso 
.backup .zip .rar .tgz .tar .bak .ARC .vmdk .vdi .sldm .sldx .sti .sxi .dwg 
.pdf .wk1 .wks .rtf .csv .txt .msg .pst .ppsx .ppsm .pps .pot .pptm .pptx 
.ppt .Zhon .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotm .dot 
.docm .docx .doc .ndf .pdf .ib .ibk .mo .strings .nib .sh .log .swidtag .grd 
.sig .spm .cat .tlb .sres .hiv .resources .3da .3ws .chm .3tf .glf .sqlite 
.version .manifest .config .gst .ind .id .map .prj .lic .prm .rss .sbo .cod 
.setup .glf .netmodule .vib .tib .$$$ .$DB .001 .001 .002 .003 .113 .73B 
.__A .__B .AB .ABA .ABBU .combo .ABF .ABK .ABU .ABU1 .ACP .ACR .ADI .AEA 
.AFI .ARC .ARC .AS4 .ASD .ASHBAK .ASV .ASVX .ATE .ATI .BA6 .BA7 .BAC 
.BACKUPDB .BAK2 .BAK3 .BAKX .BAK~ .BBB .BBZ .BCK .BCKP .BCM .BDB .BFF 
.BIF .BIFX .BK1 .BKC .BKF .BKP .BKUP .BKZ .dvtel .BLEND1 .BLEND2 .BM3 
.BMK .BOOKEXPOR .BPA .BPB .BPM .BPN .BPS .BUP .CAA .CBK .CBS .CBU .CENON~ 
.CK9 .CMF .CRDS .CSD .CSM .DA0 .DASH .DBA .DBK .DIM .DIY .DNA .DOV .DPB 
.DSB .DSS .FBC .FBF .FBK .FBU .FBW

加密的文件类型

被加密文件会被追加上 .BlackRouter 后缀

图:加密后的后缀

加密完成后

删除系统自带的备份

cmd.exe" /c vssadmin.exe delete shadows /all /quiet

在被加密文件夹下 释放勒索信,威胁受害者联系病毒作者留下的邮箱支付赎金

图:勒索信

弹出如下勒索窗口,威胁受害者支付赎金

图:勒索窗口

防范措施

  1. 勒索病毒通常伪装为常用软件、播放器等传播。因此用户要避免下载可疑文件
  2. 对于可疑的邮件附件也不要轻易打开
  3. 及时安装系统补丁,防止攻击者通过漏洞攻击,植入病毒
  4. 不使用弱口令密码,防止被攻击者暴力破解
  5. 安装杀毒软件保持防护开启
  6. 安装勒索防御软件

[责任编辑:瑞瑞]