一、综述
近日,火绒实验室截获了一个新勒索病毒Spora,通过漏洞和诱骗方式传播,除了加密被感染电脑的本机文件外(doc/ppt/psd/jpg……等各种文件类型),还会加密局域网共享文件夹中的文件,然后弹出窗口,向受害者索取赎金。
Spora利用漏洞和假冒网站弹窗传播。该病毒利用的第1个漏洞是IE漏洞,存在于IE9以上的浏览器版本中,该病毒利用的第2个漏洞是Flash漏洞。该病毒假冒的网站弹窗,模仿的是Chrome浏览器。因此,使用IE9/10/11、FlashPlayer和Chrome浏览器的用户要格外小心。
该病毒团伙制造大量以假乱真的仿冒网站,通过百度、谷歌等搜索引擎去传播。一部分受害者在访问这些假冒网站时,Spora病毒通过漏洞进入用户电脑;另一部分受害者则是被这些假冒网站的Chrome浏览器弹窗所欺骗,这些弹窗谎称电脑缺少HoeflerText字体,并提示用户下载安装字体文件,所谓的字体文件就是病毒。
火绒安全团队分析,Spora病毒未来可能会产生两种变化:首先,该病毒进入电脑经过两步,先下载病毒下载器,再由病毒下载器下载病毒,所以病毒团伙可以通过该病毒下载器下载各种新病毒。其次,病毒团伙制作仿冒网站时使用的是付费漏洞工具RIGEK,而RIGEK还提供其他多种服务,所以该勒索病毒可能会出现新的传播方式。
广大火绒用户不用担心,“火绒安全软件”默认开启的监控功能即可拦截该病毒的下载,保持开启火绒软件即可完美地防御Spora病毒,同时“火绒安全软件”也完成了升级,可以彻底查杀清除该病毒。
针对最近勒索软件层出不穷的状况,火绒实验室再次提醒广大用户,安装合格的安全软件是电脑的最基本安全措施,保持相应的安全设置和升级功能,可以有效防御勒索软件等各种恶性安全威胁。
二、传播方式
火绒近期截获到一组病毒样本,其通过如IE、FlashPlayer漏洞或者诱骗用户点击的方式进行恶意代码传播,其传播的恶意代码中包含有勒索病毒。
1、漏洞传播
病毒作者会将带有Flash漏洞或者IE漏洞的页面发布到互联网中,之后通过仿冒网址等手段,诱骗用户访问带有漏洞的网站页面。在触发漏洞后IE进程会启动wscript.exe执行恶意脚本,下载恶意代码到本地进行执行。如下图所示:
触发漏洞
经过对该漏洞页面进行解密之后,我们得到了一段JavaScript代码,如下图所示:
JavaScript代码
将变量“s”中的数据用Base64算法进行解密之后,可以得到VBScript代码,在其脚本代码中存放有一个动态库。如下图所示:
VBScript代码
VBScript代码中存放有一个动态库的二进制数据,根据其代码结构我们得知该报告中所提及的两个传播页面都是使用漏洞工具箱RigEK生成的。RigEK是一个专门制作钓鱼页面的渗透工具箱,工具箱会通过仿冒网址、挂马广告页面等多种手段进行病毒推送,虽然该工具箱的服务费用高达每周150美元,但是其依然在黑产市场中拥有庞大的用户群。该工具箱会使用多种不同漏洞进行传播,火绒截获样本中带有漏洞的HTML页面包含CVE-2016-0189的漏洞利用代码。该工具箱经常利用的漏洞,如下图所示:
RigEK工具箱常见使用漏洞列表
该工具箱制作组织维护有数量庞大的病毒推送代理域名,黑客仅需上传病毒Payload部分,就可以通过这些共享的代理域名在互联网中传播自己的病毒程序。
漏洞触发后会运行命令行执行恶意JScript代码。命令行参数,如下图所示:
根据我们的整理和分析,其漏洞触发后运行的脚本为下载者病毒,可以根据病毒作者需求下载执行任意可执行文件或者动态库。其远程服务器中所存放的病毒数据是进行过加密的,该恶意脚本会先将下载到的病毒数据存放在内中进行解密,之后根据PE结构IMAGE_FILE_HEADER结构中的Characteristics属性判断下载到的PE文件是否为动态库,如果是动态库则使用regsvr32.exe启动,如果不是动态库则直接使用cmd.exe执行。代码如下图所示:
下载者病毒代码
2、欺骗用户方式传播
病毒作者依然会以仿冒网站为诱骗用户访问页面的主要形式,但是其下载运行病毒的方式却没有利用漏洞传播那么暴力,而是以欺骗用户点击的方式进行。在访问带有网页时,用户会看到页面显示的字符全是乱码,过一秒之后会弹出仿冒的Chrome弹窗提示:未找到“HoeflerText”字体,需要下载执行Chrome_Font.exe,当浏览器弹出是否运行该文件时点击“是”。如果用户按照其提示的步骤进行操作,最终会下载运行勒索病毒。如下图所示:
下载执行勒索病毒
病毒作者会将其想要仿冒的网站页面代码通过保存页面,在下载到的网页代码中插入恶意脚本。如下图所示:
发表评论