Zionlab实验室最近处理了多起勒索病毒感染事件，通过对这些事件的分析和复盘，面向安全研究人员，总结出一批独具特色的勒索病毒的勒索特征和解密手段说明。

IOC

Makop

发展历史

该勒索病毒最早于2020年年初被发现，作者甚至公开在俄语论坛直播更新，十分嚣张。

通过分析其商业模式，发现该系列存在多级代理，上级人员负责处理勒索软件升级和收取勒索赎金，下级人员负责对各种目标进行渗透并投毒。

对安恒捕获到的完整样本进行分析，发现此家族每次生成4个版本，按照有无调试信息可以分为带UI的测试环境版本和无UI的生产环境版本，按照加密顺序可以划分为快速加密版本和常规加密版本（常规版本针对特定后缀的文件如sqlite和doc等优先进行加密）。

另外还有一个比较有意思的发现，就是此家族样本除了不加密自身加密的文件之外，还包含了“CARLOS”后缀，此后缀的样本在2020年2月左右出现过，两者存在强相关。

勒索特征

加密流程和特征

1. 每30s生成新的随机AES密钥，全盘扫描一次未加密文件

2. 使用内置硬编码RSA公钥加密1中提到的AES密钥

3. 针对每个文件生成AES IV，用于加密文件数据

4. 将2中被加密的AES和3中的AES IV写入文件尾部

虽然勒索病毒不会退出，但是由于每30s一次的AES密钥更新，内存中基本上不会存在解密所需的AES密钥，因此不存在解密方法。

函数特征

GlobeImposter

发展历史

该家族首次发现是在2017年5月左右，截至2020年仍然存在相关变种并且传播广泛，危害极大。

勒索特征

加密流程和特征

1. 每个文件生成AES密钥，用于加密文件数据

2. 本地随机生成RSA密钥对，公钥用于加密1中提到的随机AES密钥

3. 每个样本都存在硬编码的RSA公钥，用于加密2中提到的随机RSA密钥对的私钥

4. 加密完成后删除自身并退出

因此不存在解密方法。

函数特征

CrySiS

发展历史

CrySiS勒索病毒，又称Dharma，首次公开露面是在2016年左右，但是此家族样本的密钥曾在2017年5月被公布过，因此这个时间节点之前的样本可以解密，随后开始出现此勒索的变种，主要是通过RDP暴力破解的方式入侵并加密勒索。 

勒索特征

会释放两个勒索信息相关的文件，info.txt内容如下：

Info.hta内容如下：

被加密的文件名如下：

加密流程和特征

1. 使用RC4算法解密出RSA公钥

2. 使用RDTST读取CPU启动时间周期，使用RSA公钥的SHA1对获得的时间随机数进行更新得到256位AES密钥，用于加密文件

3. 结合CPU启动周期得到16字节随机数，结合RSA公钥的SHA1对此值进行更新，得到随机的AES IV，用于加密文件

4. 使用2和3中得到的密钥和IV对文件进行加密

5. 使用硬编码RSA公钥加密步骤2中得到的AES密钥，将此加密后的结果和步骤3中生成的IV写入被加密文件

综上除非知道RSA私钥，否则无法解密。根据公开情报，在17年5月旧版勒索曾爆出万能密钥，因此该时间节点之前的版本可以解密。

函数特征

Phobos

发展历史

Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容，以及用于加密文件的命名方式都较为相似。不排除为同一作者或Phobos勒索软件攻击者购买、利用CrySIS/Dharma勒索软件相关代码。

勒索特征

会释放两个勒索信息相关的文件，info.txt内容如下：

info.hta内容如下：

被加密文件特征：

加密流程和特征

1. 使用RC4算法解密出RSA公钥

2. 使用RDTST读取CPU启动时间周期，使用RSA公钥的SHA1对获得的时间随机数进行更新得到256位AES密钥，用于加密文件

3. 结合CPU启动周期得到16字节随机数，结合RSA公钥的SHA1对此值进行更新，得到随机的AES IV，用于加密文件

4. 使用2和3中得到的密钥和IV对文件进行加密

5. 使用硬编码RSA公钥加密步骤2中得到的AES密钥，将此加密后的结果和步骤3中生成的IV写入被加密文件

综上除非知道RSA私钥，否则无法解密

函数特征

Sodinokibi

发展历史

Sodinokibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被发现，使用了RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播

勒索特征

加密流程和特征

1. 生成一组密钥对，公钥直接存储在注册表中

2. 使用攻击者在配置文件中的公钥加密1中生成的私钥，并将其存储在注册表中

3. 使用软件的硬编码公钥加密1中生成的私钥，并将其存储在注册表中

4. 针对每个文件使用基于1中公钥生成的Salsa20流密码加密文件

5. 主动清理内存，防止RAM扫描

按照技术手段来说无法解密，网络上报道出售的解密工具很可能包含了作者的RSA的私钥，但是根据网络消息，该工具已经出售但并未公开。

函数特征

Stop

发展历史

该勒索病毒从2018年2月活跃至今，主要利用了合作网站，破解软件等或捆绑在激活工具进行传播，目前已有几十种变种。

勒索特征

加密流程和特征

1、 计算MAC地址MD5，作为唯一标识发送到CC，获取RSA公钥，用于加密salsa密钥

2、 如果连接远程CC失败，则直接使用内置硬编码RSA公钥，用于加密salsa密钥

3、 针对每个文件生成不同UUID，转化为36字节字符串，其中前32字节作为salsa20的密钥，前8字节作为IV，用于对文件加密

4、 使用salsa20对文件加密，其中文件前五个字节不加密，加密后写入文件

5、 使用1或2种的RSA公钥加密3中生成的UUID，追加到文件尾部

从技术手段上来说，不存在解密手段。

但是早期部分病毒版本由于其服务器生成密钥接口存在缺陷，当第一次请求接口时，服务器生成返回新的Key数据，而当再次访问密钥生成接口，服务器则会把该mac请求生成过的Key直接返回，针对此bug可拿到密钥实现解密。

病毒使用Key生成接口失活情况下，病毒会使用离线Key进行加密，在该情况下，配合公布的大量离线解密密钥，大概率可以实现解密。

函数特征

Maze

发展历史

Maze勒索病毒，又称Chacha勒索病毒，19年5月份由Malwarebytes安全研究员首次发现，使用Fallout漏洞利用工具包通过伪装成合法加密货币交换应用程序的假冒站点进行分发传播。

勒索特征

加密流程和特征

1、 本地生成RSA公私钥对，

2、 生成随机32字节key，8字节Nonce值，集合chacha算法加密1中生成的RSA私钥

3、 使用内置硬编码RSA公钥加密2中使用的随机key和Nonce值

4、 针对每个文件生成随机key和Nonce值，结合chacha对称加密算法加密文件

5、 利用1中生成的RSA公钥对4中生成的随机key和Nonce值进行加密并拼接到文件尾部

6、 将2中被加密之后的RSA私钥、3中被加密的key和Nonce值以及部分用户元数据进行base64，写入勒索提示信息

从技术手段上讲暂无解密方案，暂时也没有获取到公开的密钥信息，因此无法解密。

函数特征

Nemty

发展历史

NEMTY勒索病毒是一款新型流行勒索病毒，首次发现于2019年8月21号，8月24号国外安全研究人员公布了此勒索病毒的相关信息，随后这款勒索病毒快速发展，在不到半年的时间里，已经发展到了最新的2.5版本，目前这款勒索病毒主要在韩国等地区非常活跃

勒索特征

加密流程和特征

1、 本地随机生成RSA密钥对，用于对AES密钥加密

2、 本地生成随机AES密钥，用于加密文件

3、 使用2中生成的AES密钥对文件内容进行加密

4、 对2中随机生成的AES密钥进行BASE64编码，然后使用1中生成的随机RSA公钥加密此编码，写入文件尾部

5、 对1中生成的RSA私钥进行base64编码，然后使用硬编码的RSA公钥对此编码进行加密，写入到勒索信中

从技术手段上来讲不存在解密手段，但是该样本早期对Windows Blob(密钥离线存储结构体)的使用存在一定问题，因此早期版本可以解密。

函数特征

Medusalocker

发展历史

该勒索病毒家族在2019年10月左右开始进行传播，已知的传播手段主要是RDP爆破后手动投毒。

勒索特征

加密流程和特征

本地生成全局随机AES密钥，用于对所有文件进行加密

使用硬编码的RSA公钥对1中生成的随机AES密钥进行加密，将被加密的AES密钥数据写入文件尾部

从技术手段上来说不存在解密方案，也没有公开黑客的RSA私钥，因此无法解密。

函数特征