TMT观察网_独特视角观察TMT行业

雖然勒索軟件在今天的威脅形勢中明顯受到限制，但它仍然是網絡犯罪的主要內容。事實上，它在2018年上半年的活動略有增加，通過微調以逃避安全解決方案保持同步，模仿已建立的勒索軟件系列并駕馭他們的惡名。

在7月下旬和整個8月，觀察到垃圾郵件的浪潮傳遞了PyLocky勒索軟件。盡管它在贖金票據中試圖以洛克為借口，但PyLocky與洛克無關。PyLocky是用Python編寫的，Python是一種流行的腳本語言;并與PyInstaller一起打包，PyInstaller是一個用于將基于Python的程序打包為獨立可執行文件的工具。

用Python編寫的勒索是不是新的-已經看到CryPy（RANSOM_CRYPY.A）在2016年，和Pyl33t在2017年（RANSOM_CRYPPYT.A）-但PyLocky設有抗機器學習能力，這使得它顯著。通過結合使用Inno Setup Installer（一個基于開源腳本的安裝程序）和PyInstaller，它對靜態分析方法提出了挑戰，包括基于機器學習的解決方案-也已經看到了Cerber do的變種（雖然使用了Cerber） NullSoft安裝程序）。

PyLocky的發行似乎也很集中;可以看到了幾個針對歐洲國家的垃圾郵件，特別是法國。雖然垃圾郵件的運行起步很小，但它的數量和范圍最終都會增加。

圖1：與8月2日（左）和8月24日（右）相關的PyLocky相關垃圾郵件的分布

圖2：PyLocky的贖金票據假裝是Locky勒索軟件

感染鏈

8月2日，將檢測到垃圾郵件運行將PyLocky分發給法國企業，并通過社交工程主題（例如與發票相關的主題）吸引他們。該電子郵件誘使用戶單擊鏈接，該鏈接將用戶重定向到包含PyLocky的惡意URL。

圖3：帶有主題行的垃圾郵件，“Nousavonsre?upotrerepaiement”，表示“我們已收到您的付款”。

惡意URL會導致ZIP文件（Facture_23100.31.07.2018.zip）包含已簽名的可執行文件（Facture_23100.31.07.2018.exe）。成功運行后，Facture_23100.31.07.2018.exe將刪除惡意軟件組件-幾個C 和Python庫以及Python 2.7 Core動態鏈接庫（DLL）-以及主要勒索軟件可執行文件（lockyfud.exe，它是通過PyInstaller）在C：\Users\{user}\AppData\Local\Temp\is-{random}.tmp中。

圖4：ZIP文件

圖5. PyLocky相關惡意軟件組件的數字簽名信息

PyLocky包括圖像，視頻，文檔，聲音，程序，游戲，數據庫和存檔文件等。這是PyLocky加密的文件類型列表：

圖6：顯示PyLocky查詢系統屬性的代碼片段

圖7.配置為休眠一段時間以逃避傳統的沙箱解決方案

加密例程

PyLocky配置為加密硬編碼的文件擴展名列表，如圖4圖5所示.PyLocky還濫用Windows Management Instrumentation（WMI）來檢查受影響系統的屬性。如果受影響的系統的總可見內存大小小于4GB，PyLocky的防沙箱功能將會休眠999.999秒-或者僅超過11.5天。如果文件加密例程大于或等于4GB，則執行該例程。

加密后，PyLocky將與其命令和控制（C＆C）服務器建立通信。PyLocky使用PyCrypto庫實現其加密例程 - 使用3DES（Triple DES）密碼。PyLocky遍歷每個邏輯驅動器，首先在調用'efile'方法之前生成文件列表，該方法用加密版本覆蓋每個文件，然后丟棄贖金票據。

PyLocky的贖金票據是英語，法語，韓語和意大利語，這可能表明它也可能針對講韓語和意大利語的用戶。它還通過POST將受影響的系統信息發送到C＆C服務器。

圖8：顯示PyLocky的C＆C通信

圖9.加密例程（底部）的代碼片段

圖10：PyLocky用不同語言的贖金票據

緩解方案

區塊鏈安全咨詢公司 曲速未來 表示：機器學習是檢測獨特惡意軟件的有價值的網絡安全工具，但它不是一個靈丹妙藥。在今天的威脅下，攻擊者可以使用不同的向量，這使得多層次的安全方法變得非常重要。應用最佳實踐：定期備份文件，保持系統更新，確保系統組件的使用，并培養網絡安全意識文化。