情況概述

近期360安全智腦監(jiān)測(cè)到一款新的勒索軟件。該軟件背后的組織精心構(gòu)造了一個(gè)偽裝成Microsoft 365（Office）下載頁(yè)面的釣魚(yú)頁(yè)面來(lái)投遞勒索軟件，用戶(hù)一旦不慎下載并執(zhí)行該頁(yè)面所提供的程序，電腦中幾乎所有的數(shù)據(jù)文檔都會(huì)被加密。被該勒索軟件加密后的文件會(huì)被添加“.Montelli”后綴，而文件內(nèi)容則被勒索軟件使用RC4算法進(jìn)行加密，該算法也因其頗高的性能來(lái)保障整個(gè)設(shè)備中的文件會(huì)以很快的速度被全部加密。

經(jīng)過(guò)360安全智腦的技術(shù)分析后，該勒索軟件的當(dāng)前版本已被360反勒索服務(wù)完成破解。如有不慎中招的用戶(hù)，可聯(lián)系360反勒索服務(wù)嘗試進(jìn)行免費(fèi)解密。

勒索軟件樣本說(shuō)明

樣本總述

如概述中所說(shuō)，該勒索軟件是通過(guò)釣魚(yú)頁(yè)面進(jìn)行傳播的。被該組織用來(lái)構(gòu)建釣魚(yú)頁(yè)面的是GitHub服務(wù)，由于GitHub本身屬于訪問(wèn)量極高的正規(guī)站點(diǎn)，這也導(dǎo)致了很多具有基礎(chǔ)安全功能的瀏覽器會(huì)直接將站點(diǎn)識(shí)別為安全。

基于GitHub服務(wù)所構(gòu)造的頁(yè)面內(nèi)容則是偽裝成了微軟的Microsoft 365，也就是此前為大眾所熟悉的知名辦公軟件——Office的下載頁(yè)面。

圖1. 偽裝為Microsoft 365下載頁(yè)面的勒索軟件釣魚(yú)站點(diǎn)?

與下載頁(yè)面相同，勒索軟件主體程序的下載鏈接同樣是使用了GitHub服務(wù)。

圖2. 勒索軟件下載鏈接

而該程序落地后，其程序圖標(biāo)也偽裝成了Microsoft 365的官方圖標(biāo)。這也算是“穩(wěn)扎穩(wěn)打，步步為營(yíng)”了。

圖3. 勒索軟件將圖標(biāo)也偽裝成Office?

而經(jīng)過(guò)分析人員的分析，該勒索軟件簡(jiǎn)要的攻擊流程簡(jiǎn)圖如下：

圖4. 勒索軟件攻擊流程簡(jiǎn)圖

樣本分析

經(jīng)分析發(fā)現(xiàn)，在用戶(hù)被誘導(dǎo)下載并執(zhí)行了該勒索軟件樣本后，其會(huì)通過(guò)參數(shù)通知系統(tǒng)以隱藏控制臺(tái)的模式在后臺(tái)悄悄運(yùn)行該勒索軟件。

圖5. 勒索軟件以隱藏控制臺(tái)模式在后臺(tái)運(yùn)行?

運(yùn)行后，軟件首先會(huì)從遠(yuǎn)程服務(wù)端下載其定制桌面壁紙圖片到本地。此后，再?gòu)拇a中內(nèi)置的一段數(shù)據(jù)解碼出一段PowerShell命令代碼，執(zhí)行后會(huì)將剛剛下載到的圖片設(shè)置為系統(tǒng)當(dāng)前壁紙。之后，還會(huì)下載用于勒索受害用戶(hù)的“勒索信程序”。

圖6. 勒索軟件下載定制的桌面壁紙及勒索信程序?

完成上述下載操作后，程序會(huì)啟動(dòng)單獨(dú)線程執(zhí)行核心的加密功能。

圖7. 勒索軟件啟動(dòng)獨(dú)立現(xiàn)成執(zhí)行核心加密功能

圖8. 執(zhí)行中的加密代碼?

根據(jù)分析人員分析發(fā)現(xiàn)，該勒索軟件在加密具體文件的過(guò)程中采用了RC4對(duì)稱(chēng)算法。RC4算法是Ron Rivest為RSA公司設(shè)計(jì)的一種流加密算法，該算法以隨機(jī)置換作為基礎(chǔ)，其密碼周期很可能大于10100，并且該算法的運(yùn)行速度很快。

在我們分析的樣本中，調(diào)用RC4算法進(jìn)行加密的相關(guān)代碼如下。

圖9. 用于加密文件的RC4加密算法代碼

加密完成后，勒索軟件會(huì)向內(nèi)容被加密后的新文件后添加“.Montelli”擴(kuò)展名，同時(shí)刪除違背加密的原始文件。

圖10. 勒索軟件添加擴(kuò)展名及刪除原始文件代碼?

遍歷所有文件并完成全部加密操作后，勒索軟件會(huì)彈出勒索提示信息，要求受害用戶(hù)支付約合1337美元的Pi幣 (基于本文撰寫(xiě)時(shí)匯率：1 Pi = $2.12141 USD)

圖11. 勒索提示信息代碼

程序所彈出的勒索提示信息窗口如下，在窗口中也會(huì)明確的告知受害用戶(hù)所需支付的勒索金額和攻擊者自身的Pi幣錢(qián)包地址：

45d98a2c8e056594d23d645b2915c092aaf14727

圖12. 勒索提示信息窗口?

技術(shù)破解

由于該勒索軟件采用了RC4對(duì)稱(chēng)加密算法且密鑰內(nèi)置，所以對(duì)于被該勒索軟件加密的文件是可以通過(guò)內(nèi)置的密鑰進(jìn)行反向操作來(lái)實(shí)現(xiàn)解密的。

我們的技術(shù)人員編寫(xiě)的用于驗(yàn)證的Python解密代碼如下

圖13. 解密驗(yàn)證代碼

不過(guò)，由于軟件作者在實(shí)現(xiàn)RC4加密算法的過(guò)程中存在一些代碼層面的bug，導(dǎo)致了部分情況下加密密鑰會(huì)變?yōu)榧冸S機(jī)數(shù)值，這帶來(lái)的最終結(jié)果便是這類(lèi)被加密的數(shù)據(jù)根本無(wú)法解密。

作者溯源

關(guān)于該勒索軟件的作者，我們找到了其放置釣魚(yú)頁(yè)面的GitHub相關(guān)賬戶(hù)信息。該作者似乎是一名經(jīng)常參加各種CTF比賽的參賽人員，還會(huì)時(shí)常發(fā)布一些參賽筆記——這一點(diǎn)從RC4加密所用的密鑰形式也能得到一定程度的側(cè)面印證。

圖14. 疑似勒索軟件作者的公開(kāi)筆記?

此外，我們還發(fā)現(xiàn)了該作者關(guān)于Montelli勒索軟件的一份相關(guān)聲明。

聲明內(nèi)容大意翻譯如下：

我們親愛(ài)的朋友們。Montelli總是仁慈的，即便對(duì)于叛徒也是如此……

這么說(shuō)吧，這只是個(gè)開(kāi)始。我希望你們記得我們的恩情，并向我的銀行賬戶(hù)中轉(zhuǎn)10億越南盾。

銀行賬戶(hù)號(hào)碼:

0209 1945 KCGO HDLTD

圖15. 疑似勒索軟件作者關(guān)于Montelli的聲明?

安全防護(hù)與建議

360安全終端產(chǎn)品，無(wú)需升級(jí)，可直接攔截此類(lèi)勒索軟件：

圖16. 360安全終端產(chǎn)品攔截該勒索軟件?

360安全中心建議：

1.??? 僅從官方渠道下載軟件，訪問(wèn)微軟官網(wǎng)時(shí)核實(shí)網(wǎng)址真實(shí)性（microsoft.com），警惕類(lèi)似但不完全相同的域名。

2.??? 定期備份重要文件至離線存儲(chǔ)設(shè)備或可信云服務(wù)。

3.??? 保持操作系統(tǒng)和安全軟件最新，確保及時(shí)安裝所有安全補(bǔ)丁。

4.??? 提高警惕性，不點(diǎn)擊可疑郵件附件或鏈接。

5.??? 使用靠譜終端安全解決方案，具備行為分析和勒索軟件防護(hù)功能等。