原文地址:http://drops.wooyun.org/papers/14671

0x00 概述

安天安全研究與應急處理中心（Antiy CERT）近期發現勒索軟件TeslaCrypt的最新變種TeslaCrypt 4.0，它具有多種特性，例如：加密文件后不修改原文件名、對抗安全工具、具有PDB路徑、利用CMD自啟動、使用非常規的函數調用、同一域名可以下載多個勒索軟件等。

勒索軟件TeslaCrypt在2015年2月份左右被發現^【1】，它是在Cryptolocker的基礎上修改而成。在其第一個版本中，TeslaCrypt聲稱使用非對稱RSA-2048加密算法，但實際上使用的是對稱的AES加密算法，由此Cisco（思科）發布了一款解密工具，在找到可恢復主密鑰的key.dat文件時，可以解密被TeslaCrypt勒索加密的文件^【2】；但在之后的多個版本中，勒索軟件TeslaCrypt開始使用非對稱的RSA加密算法，被加密的文件在無密鑰的情況下已經無法成功解密了，安天CERT發現，TeslaCrypt 4.0在2016年3月份開始出現，使用的是RSA-4096加密算法。

勒索軟件系列事件的出現，具有多方面原因，其中重要的一點是匿名網絡和匿名支付的高度成熟。2016年春節過后，勒索軟件Locky開始爆發，全球多家安全廠商發布了相應的報告，安天CERT也在2016年2月19日發布了《首例具有中文提示的比特幣勒索軟件“LOCKY”》^【3】；2016年3月底，G-Data和趨勢先后發布了修改MBR、加密整個硬盤的勒索軟件Petya的報告；2016年4月初，安天CERT開始跟蹤勒索軟件TeslaCrypt 4.0。

0x01 傳播方式

勒索軟件TeslaCrypt 4.0利用網站掛馬和電子郵件進行傳播，在國內網站掛馬發現的較少，通常利用瀏覽器漏洞（Chrome、Firefox、Internet Explorer）、Flash漏洞和Adobe Reader漏洞進行傳播；而利用電子郵件傳播的數量較多，安天CERT發現的多起勒索軟件事件也都是通過電子郵件傳播的。

圖 1 利用電子郵件傳播勒索軟件

在分析TeslaCrypt的下載地址時，安天CERT研究人員發現，相同域名下存放多個TeslaCrypt 4.0程序，且文件HASH各不相同。例如：域名http://***|||pasqq.com，可以下載TeslaCrypt 4.0的地址如下：

• http://***pasqq.com/23.exe
• http://***pasqq.com/24.exe
• http://***pasqq.com/25.exe
• http://***pasqq.com/42.exe
• http://***pasqq.com/45.exe
• http://***pasqq.com/48.exe
• http://***pasqq.com/69.exe
• http://***pasqq.com/70.exe
• http://***pasqq.com/80.exe
• http://***pasqq.com/85.exe
• http://***pasqq.com/87.exe
• http://***pasqq.com/93.exe

另外，其他域名中勒索軟件的下載地址同上，如：23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14時，安天CERT共發現具有下載勒索軟件TeslaCrypt 4.0的域名共50多個，部分域名已經失效。

部分下載勒索軟件TeslaCrypt 4.0的域名：

• ***pasqq.com
• ***uereqq.com
• ***ghsqq.com
• ***rulescc.asia
• ***rulesqq.com

0x02 樣本分析

安天CERT共發現近300個勒索軟件TeslaCrypt 4.0。研究人員在其中選擇了時間較新的樣本進行分析。

2.1 樣本標簽

2.2 使用RSA4096加密算法加密文件，但不修改原文件名

該樣本運行后復制自身至%Application Data%文件夾中，重命名為wlrmdr.exe，設置自身屬性為隱藏，然后使用CreateProcessW為其創建進程。

圖 2 創建wlrmdr.exe進程

樣本在新創建的進程中使用CreateThread開啟線程，對全盤文件進行加密。首先樣本使用GetLogicalDriveStringsW獲取所有邏輯驅動器，成功后使用FindFirstFileW與FindNextFileW遍歷全盤所有文件，進行加密。

圖 3 遍歷磁盤文件

加密函數地址為0x0040190A。

圖 4 調用加密函數對遍歷到的文件加密

利用RSA4096算法加密后，調用WriteFile將加密后的數據由內存寫入文件，沒有對文件名做修改。

圖 5 將加密后的數據寫入文件

加密前后的文件對比：

圖 6加密前后的文件對比

2.3 對抗安全工具

樣本會查找系統中是否存在包含字符串的進程并將其隱藏，使用用戶無法“看到”這些工具：

圖 7 隱藏cmd界面

2.4 具有PDB信息

樣本具有PDB信息，其文件名為“wet problem i yuoblem i_x.pdb”

圖 8 樣本的調試信息中包含PDB信息

2.5利用CMD自啟動

樣本調用RegCreateKeyExW，將使用CMD啟動自身的代碼寫入至注冊表中，使其隨系統開機啟動。

圖 9 利用CMD達到隨系統開機啟動的目的

2.6使用非常規的函數調用和跳轉

樣本使用了很多非常規的函數調用和跳轉，用來阻止安全人員分析該病毒。

圖 10　非常規的函數調用

圖 11　非常規的跳轉

2.7 TeslaCrypt 4.0加密的文件格式

圖 12 TeslaCrypt 4.0加密的文件格式

0x03 總結

勒索軟件對企業和個人用戶都具有極大的威脅，被加密后的文件無法恢復，將給用戶造成巨大的損失。解決勒索軟件的威脅問題除安裝安全產品、防護產品、備份產品外，更需要用戶在接收郵件時謹慎小心，慎重打開郵件附件或點擊郵件內的鏈接，尤其是陌生人郵件。

安天智甲終端防護系統（IEP）可以在用戶誤點擊運行勒索軟件時阻止其對用戶文件進行加密。

0x04 附錄一：參考資料

• 【1】安天發布：揭開勒索軟件的真面目
• 【2】思科發布：針對勒索軟件TeslaCrypt的解密工具：
  http://www.freebuf.com/sectool/66060.html
  http://blogs.cisco.com/security/talos/teslacrypt
• 【3】首例具有中文提示的比特幣勒索軟件“LOCKY”

0x05 附錄二：安天CERT發現的50多個傳播勒索軟件的域名

0x06 附錄三：安天CERT發現的C&C地址

• addagapublicschool.com/binfile.php
• kel52.com/wp-content/plugins/ajax-admin/binstr.php
• closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
• coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
• thejonesact.com/wp-content/themes/sketch/binfile.php
• theoneflooring.com/wp-content/themes/sketch/binfile.php
• mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
• myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
• controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
• sappmtraining.com/wp-includes/theme-compat/wcspng.php
• controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
• vtechshop.net/wcspng.php
• sappmtraining.com/wp-includes/theme-compat/wcspng.php
• shirongfeng.cn/images/lurd/wcspng.php
• 198.1.95.93/~deveconomytravel/cache/binstr.php
• helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
• hotcasinogames.org/binfile.php
• goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
• opravnatramvaji.cz/modules/mod_search/wstr.php
• studiosundaytv.com/wp-content/themes/sketch/binfile.php
• theoneflooring.com/wp-content/themes/sketch/binfile.php
• hotcasinogames.org/binfile.php
• pcgfund.com/binfile.php
• kknk-shop.dev.onnetdigital.com/stringfile.php
• forms.net.in/cgi-bin/stringfile.php
• casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
• csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
• grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
• naturstein-schubert.de/modules/mod_cmscore/stringfile.php
• vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
• starsoftheworld.org/cgi-bin/binarystings.php
• holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
• minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
• drcordoba.com/components/bstr.php

0x07 附錄四：關于安天

安天從反病毒引擎研發團隊起步，目前已發展成為擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天歷經十五年持續積累，形成了海量安全威脅知識庫，并綜合應用網絡檢測、主機防御、未知威脅鑒定、大數據分析、安全可視化等方面經驗，推出了應對持續、高級威脅（APT）的先進產品和解決方案。安天技術實力得到行業管理機構、客戶和伙伴的認可，安天已連續四屆蟬聯國家級安全應急支撐單位資質，亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是獲得全球首個AV-TEST（2013）年度獎項的中國產品，全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。