LOCKY勒索者新花样：通过PDF投递

摘 要

最近安恒APT团队截获一个新版的LOCKY勒索者病毒样本，区别之前大多数样本采用WORD文档投递并用宏代码远程下载执行的方式，该样本在原有的WORD文档基础上再加一层PDF“壳”较有新意。其整个“包装”及运行方式如下：

可惜依然逃不出安恒APT产品沙盒对未知病毒的检测：

流程技术分析

PDF样本分析

该PDF样本（MD5: 6EC30F978AB576597A9C139806D3846F）包含一个OpenAction，并直接指向ID：5的JS流：

所以，一旦双击该PDF文档就会直执行JS脚本将DOCX文档释放到临时目录：

Adobe Reader会调用默认的WORD软件打开，但在高版本种会跳出“包含宏”的告警窗口:

DOCX样本分析

释放的文档（MD5: 7D2CAFF06D859F3D3E7D0324B27B7BDA）是docm后缀，如果在宏的安全设置不当，会导致恶意的宏代码自动运行。

该文档被打开后显示一张图片，图片内容的大概意思是“本文件已经被加密保护，如果需要查看内容，请启用宏”。很明显它为了诱导用户启用宏：

该样本的宏使用的混淆的方式也较为新奇：采用Windows1窗体并将关键的字符串保存到个组件的属性中，如关键字符串数组IIIIII保存在Window1.Tas.Tag中，使用“FSUKE”分隔。这种方式可以绕过不支持窗体的VBA检测引擎，也增加了分析人员的分析时间成本：

宏运行后，它会循环去如下地址下载远程恶意程序：

• Kar***s.com.au/jhg67g
• Pur***ehosting.com.au/jhg67g
• Fk***obnn43.org/r55/jhg67g

根据下载的内容，我们发现其采用的简单的硬编码XOR KEY进行加解密：

KEY及算法片段如下：

解密后保存到临时目录并Wscript.shell执行。其完整的运行“进程关系树”如下：

勒索软件的行为大同小异，该EXE样本不再重复分析，但从VIRUSTOTAL的扫描记录来看，多数引擎检无法检测。

最后跳出LOCKY勒索者标志的警告图片窗口和IE窗口，很明显的勒索软件特征：

总结

勒索软件直接的高额利益获取会导致该威胁长时间存在并活跃，而像本次样本修改一种新的投递方式，一方面实现成本极低但对安全厂商的引擎却是功能模块的添加、甚至检测效率降低；另一方面对用户来说新的载体和陌生的告警信息会麻痹用户的警惕性提高感染成功率。

- END -