来自卡巴斯基实验室的Orkhan Mamedov和 Fedor Sinitsyn发文称，在过去的几天里，他们一直在检测一种新的恶意软件——KeyPass勒索软件。安全社区的其他人也已经注意到，这种勒索软件在8月份开始积极地传播：

来自MalwareHunterTeam的预警

传播模式

根据卡巴斯基实验室所掌握的信息，该勒索软件目前正通过伪装成虚假的安装应用程序进行传播。

描述

由卡巴斯基实验室所检测的KeyPass勒索软件样本是采用C++编写的，并在MS Visual Studio中编译。它的开发基于MFC、Boost和Crypto ++库，PE头显示了最近的编译日期。

带有编译日期的PE头

当在受害者的计算机上运行时，该勒索软件会将可执行文件复制到%LocalAppData%中并执行，然后从原始位置删除自身。

随后，它会生成自身进程的多个副本，并将加密密钥和受害者ID作为命令行参数传递。

命令行参数

KeyPass会枚举出可以通过受感染计算机访问的本地驱动器和网络共享，并搜索所有文件（无论其扩展名是什么），但会跳过位于多个目录中的文件。在卡巴斯基实验室所检测的样本中，这些路径被硬编码在其中。

被排除文件的路径列表

对于每一个被加密的文件而言，它们都会得到一个附加扩展名“.KEYPASS”。另外，一个名为“!!!KEYPASS_DECRYPTION_INFO!!!.txt”的赎金票据会被保存在每一个完成加密的文件夹中。

赎金票据

加密方案

KeyPass勒索软件的开发者实施了一个非常简单的加密方案。勒索软件在密文反馈（CFB）模式下使用对称算法AES-256对所有目标文件进行加密，初始化向量（IV）值为0，密钥为32字节（对于所有目标文件而言，密钥都相同）。另外，该勒索软件最多只会加密每个文件开头的0x500000字节（大约5MB）的数据。

实施数据加密的部分过程

在运行之后不久，KeyPass就会连接到其命令和控制（C＆C）服务器，并接收当前受害者的加密密钥和感染ID。数据以JSON格式通过明文HTTP传输。

如果C＆C无法访问（例如，受感染的计算机未连接到互联网或服务器宕机），KeyPass则会使用硬编码的密钥和ID。这意味着即使是在离线的情况下，加密或解密受害者的文件是完全没有问题的。

图形用户界面（GUI）

卡巴斯基实验室表示，KeyPass勒索软件最有趣的特性是能够“手动控制”。它包含了一个默认隐藏的表单，可以在按下键盘上的特定按键之后显示出来。这个功能可能表明其背后的犯罪分子打算在手动攻击中使用它。

KeyPass的GUI

这个表单允许攻击者通过更改以下参数来自定义加密过程：

• encryption key（加密密钥）
• name of ransom note（赎金票据的名称）
• text of ransom note（赎金票据的文本内容）
• victim ID（受害者ID）
• extension of the encrypted files（被加密文件的扩展名）
• list of paths to be excluded from the encryption（排除在目标文件之外的路径列表）

默认被排除文件的路径列表

用于实现通过按键显示GUI的代码

受感染地理分布

IOC

901d893f665c6f9741aa940e5f275952 – Trojan-Ransom.Win32.Encoder.n

hxxp://cosonar.mcdir.ru/get.php

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。