SamSam勒索病毒变种预警

概述

最近，美国亚特兰大市的多家公司及个人计算机遭到了大规模的勒索软件攻击，官方甚至声明：“与该市打过交道的每家公司或每个人都面临险境”。

深信服EDR安全团队研究发现，这次病毒是SamSam家族的勒索病毒变种，它是以.Net语言编写的。样本采用RSA2048加密算法将系统中大部分的文档文件加密为.breeding123后缀的文件，然后对用户进行勒索。该变种跟以往SamSam病毒的不同之处在于，其使用RDP爆破进行传播，因此，开启了RDP协议且使用弱密码的用户将受到潜在风险。

当用户点击此病毒后，病毒开始加密系统文件，然后在桌面创建多个勒索信息的html文件，并显示勒索提示框：

病毒分析

样本主体分析

(1)样本采用.NET语言进行编写的，去混淆，如下图所示：

(2)通过JetBrains dotPeek可以反汇编得到相应的.NET源码，如下图所示：

(3)解密相关的字符串，将SALT key传入解密函数，进行解密，如下图所示：

(4)解密的相关函数，反汇编代码如下所示：

(5)通过前面的解密字符串函数，得到后面加密的文件类型，动态调试如下所示：

加密的文件类型列表：

.vb,.asmx,.config,.3dm,.3ds,.3fr,.3g2,.3gp,.3pr,.7z,.ab4,.accdb,.accde,.accdr,.accdt,.ach,.acr,.act,.adb,.ads,.agdl,.ai,.ait,.al,.apj,.arw,.asf,.asm,.asp,.aspx,.asx,.avi,.awg,.back,.backup,.backupdb,.bak,.lua,.m,.m4v,.max,.mdb,.mdc,.mdf,.mef,.mfw,.mmw,.moneywell,.mos,.mov,.mp3,.mp4,.mpg,.mrw,.msg,.myd,.nd,.ndd,.nef,.nk2,.nop,.nrw,.ns2,.ns3,.ns4,.nsd,.nsf,.nsg,.nsh,.nwb,.nx2,.nxl,.nyf,.tif,.tlg,.txt,.vob,.wallet,.war,.wav,.wb2,.wmv,.wpd,.wps,.x11,.x3f,.xis,.xla,.xlam,.xlk,.xlm,.xlr,.xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.ycbcra,.yuv,.zip,.sqlite,.sqlite3,.sqlitedb,.sr2,.srf,.srt,.srw,.st4,.st5,.st6,.st7,.st8,.std,.sti,.stw,.stx,.svg,.swf,.sxc,.sxd,.sxg,.sxi,.sxm,.sxw,.tex,.tga,.thm,.tib,.py,.qba,.qbb,.qbm,.qbr,.qbw,.qbx,.qby,.r3d,.raf,.rar,.rat,.raw,.rdb,.rm,.rtf,.rw2,.rwl,.rwz,.s3db,.sas7bdat,.say,.sd0,.sda,.sdf,.sldm,.sldx,.sql,.pdd,.pdf,.pef,.pem,.pfx,.php,.php5,.phtml,.pl,.plc,.png,.pot,.potm,.potx,.ppam,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.prf,.ps,.psafe3,.psd,.pspimage,.pst,.ptx,.oab,.obj,.odb,.odc,.odf,.odg,.odm,.odp,.ods,.odt,.oil,.orf,.ost,.otg,.oth,.otp,.ots,.ott,.p12,.p7b,.p7c,.pab,.pages,.pas,.pat,.pbl,.pcd,.pct,.pdb,.gray,.grey,.gry,.h,.hbk,.hpp,.htm,.html,.ibank,.ibd,.ibz,.idx,.iif,.iiq,.incpas,.indd,.jar,.java,.jpe,.jpeg,.jpg,.jsp,.kbx,.kc2,.kdbx,.kdc,.key,.kpdx,.doc,.docm,.docx,.dot,.dotm,.dotx,.drf,.drw,.dtd,.dwg,.dxb,.dxf,.dxg,.eml,.eps,.erbsql,.erf,.exf,.fdb,.ffd,.fff,.fh,.fhd,.fla,.flac,.flv,.fmb,.fpx,.fxg,.cpp,.cr2,.craw,.crt,.crw,.cs,.csh,.csl,.csv,.dac,.bank,.bay,.bdb,.bgt,.bik,.bkf,.bkp,.blend,.bpw,.c,.cdf,.cdr,.cdr3,.cdr4,.cdr5,.cdr6,.cdrw,.cdx,.ce1,.ce2,.cer,.cfp,.cgm,.cib,.class,.cls,.cmt,.cpi,.ddoc,.ddrw,.dds,.der,.des,.design,.dgc,.djvu,.dng,.db,.db-journal,.db3,.dcr,.dcs,.ddd,.dbf,.dbx,.dc2,.pbl

(6)遍历磁盘，进行后面的加密文件操作，如下图所示：

(7)加密文件，遍历对应磁盘下的文件目录，如果是下面这些目录，则不进行后面加密操作，直接返回，相应的目录如下：

c:\windows\

c:\winnt\

或者文件目录中包含下面这些字符，同样不进行加密操作，相应的字符串如下：

reference assemblies\microsoft

recycle.bin

c:\users\all users

c:\documents and settings\all users

c:\boot

c:\users\default

反汇编代码如下图所示：

(8)定位到相应的文件目录之后，开始遍历里面的文件，如果文件名扩展是下面这些文件名类型，则不进行后面的加密操作，相应的后缀名如下：

.breeding123 .search-ms .exe .msi .lnk

.wim .scf .ini .sys .dll

或者文件名是或者包含如下这些文件名：

Startinfo.bat followed2.vshost.exe READ-FOR-DECCC-FILESSS.html

Desktop.ini ntuser.dat search-ms

microsoft\windows appdata

以及文件的父路径为C:\，则都不进行后面的加密操作，反汇编代码如下图所示：

(9)如果文件名扩展名，为下面这些文件扩展名，则加密相应的文件，反汇编代码如下：

加密后的文件名为原文件名+ .breeding123(后缀），如下图所示：

整个加密过程的反汇编代码如下所示：

(10)结束相应的sql数据库进程，如下图所示：

(11)在桌面创建10个勒索信息的html文件，文件名为：READ-FOR-DECCCC-FILESSS.（0-9）html，反汇编代码如下所示：

传播方式

这个勒索病毒主要通过暴力破解RDP的方式进行传播，其不具备横向感染的能力，不会对局域网的其他设备发起相应的攻击。

加密算法

该勒索病毒采用RSA2048加密算法加密文件，目前暂没有相应的解密工具。

预防措施

目前深信服EDR已经具备相应的检测查杀能力，如图所示：

深信服提醒用户，日常防范措施：

1.不要点击来源不明的邮件以及附件

2.及时给电脑打补丁，修复漏洞

3.对重要的数据文件定期进行非本地备份

4.安装专业的终端/服务器安全防护软件

5.定期用专业的反病毒软件进行安全查杀

6.SamSam勒索软件主要利用RDP(远程桌面协议）爆破进行攻击，因此建议用户关闭相应的RDP(远程桌面协议）

7.尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等