詳解勒索軟件 PowerWare 運作原理:另附解密鑰匙!無需贖金即時解密
詳解勒索軟件 PowerWare 運作原理:另附解密鑰匙!無需贖金即時解密
早前為眾人所認識的勒索軟件 Locky 雖然隨著各家安全廠商推出的措拖,令其影響力已大減,不過 Palo Alto Networks 威脅情報團隊 Unit 42 近日便發現了一種新型變種的勒索軟件 PowerWare,亦稱為 PoshCoder,並模仿現時流行的勒索軟件 Locky 家族。
自 2014 年起,PoshCoder 透過 Powershell 指令對檔案進行加密,而直到 2016 年 3 月才其變種的 PowerWare 才被發現。該勒索軟件可針對受害者電腦裡的檔案進行加密,然後要求受害者支付比特幣等數碼貨幣,以進行解密。
除了將「.locky」作為加密檔的副檔名之外,PowerWare 還使用了與 Locky 惡意軟件家族相同的勒索信。這不是第一次 PowerWare 模仿其他惡意軟件家族,其早期版本便模仿 CryptoWall 惡意軟件的勒索信。其實惡意軟件之間相互參考十分常見,例如早前便有惡意軟件借用其他軟件的代碼,比如 TeslaCrypt 系列的惡意軟件便是一例。
就上述提到的 PowerWare,現時 Unite42 團隊已編寫了一個 Python 的解密編碼檔,可協助受害者針對 PowerWare 檔案進行解密,並將其還原。連結此進行下載。
PowerWare 是如何運行的?
從 PowerShell 的初步分析顯示,其樣本是一個 .NET 的可執行檔案。其後通過使用了一個 .NET 的反編譯程式名為 dnSpy 仔細檢查,我們可以從 Quest Software 中看到 “PowerGUI”。這讓我們立即知道,惡意軟件使用 PowerShell 腳本編輯器轉換 PowerShell 腳本成為 Microsoft 的可執行檔案。
圖 1 反編譯程式顯示被引用於惡意軟件的 PowerGUI 字眼
圖 2 反編譯程式顯示 Main() 的功能
據 Unit 42 的專家對 .NET 的可執行檔作仔細檢查,他們發現勒索軟件採用 ScriptRunner.dll 解壓 PowerShell 腳本,並重新命名為 fixed.ps1。而解壓檔放置於以下位置:%USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1。
這個 .NET 的 Windows 執行檔只負責解壓嵌入式腳本及只以 PowerShell.exe 執行,而這個腳本會留下一個 ZIP 檔,名為 Scripts.zip,並於該檔的資源部分。
圖 3 Script.zip 嵌入於惡意軟件的資源部分
由於被嵌入惡意軟件中的 Scripts.zip 沒有任何阻隔,因此可以使用 dnSpy 很輕易地提取該 ZIP 檔。這反過來能使專家獲得已壓縮的 PowerShell 腳本。
這個 PowerShell 腳本非常類似於其他 PoshCoder/ PowerWare 的變種。由於這勒索軟件使用了不浮動 (hard-coded) 的密匙作 AES-128 加密,因此受害者將可以在無需支付金額的情況下就能解密文件。如圖 4 所示。而現時坊間很多勒索軟件均採用了可變的加密匙,面對這些則是難以進行解密的。
圖 4 PowerWare 的加密設置
PowerShell 腳本會自動掃描受害者的電腦並尋找下面列出的檔案類型文件(圖5),然後繼續進行加密。
圖 5 列出將由 PowerWare 加密的檔案類型
PowerWare 加密以上檔案之後,會追加一個 .locky 檔案類型至文件中,就像臭名昭著的 Locky 惡意軟件一樣。另外,一個名為 ‘_HELP_instructions.html’ 的 HTML 文件亦會自動寫入,這個 HTML 文件是模仿 Locky 惡意軟件的勒索信息,同時亦會與加密檔案放置於相同的容器之中以便進行加密工作。
圖 6 PowerShell 代碼模仿 Locky 惡意軟件家族
圖 7 PowerWare 勒索信息的文字與 Locky 的勒索信息相同
若受害者願意支付贖金,他們可以點擊 HTML 檔內提供的連結(通常是有數個連結),並會被導向至一個網站,如圖 8 顯示了其中一個。這些網站會提供了有關如何購買 Bitcoin 以及付款等相關資訊。很明顯這亦是模仿 Locky 勒索家族的收取贖金方式。
圖 8 支付贖金的網站
如何解密
如前面提到的,由於惡意軟件使用靜態密匙加密,受害者是可以把文件自行解密的。實際上,惡意軟件只是加密了目標文件(圖5)首 2048 字節,圖 9 可以證明這個說法。
圖 9 已被 PowerWare 加密的文件
以下畫面顯示了解碼編碼檔在受感染的 Windows 電腦上運行的情況。
圖 10 解密的腳本正在執行
安全團隊希望通過我們的報導,為那些遭受 PowerWare 變種勒索軟件影響的受害者提供幫助。
雖然樣品的特徵看似是新型的惡意勒索軟件,但事實上這惡意軟件是早前發現的 PowerWare 系列惡意軟件的變種。不像其他變種,這樣本聲稱是屬於 Locky 系列惡意軟件。
相關惡意軟件網址
hxxp://bobbavice[.]top/RY.exe
hxxp://p6y5jnjxpfiibsyx.tor2web[.]org
hxxp://p6y5jnjxpfiibsyx.onion[.]to
hxxp://p6y5jnjxpfiibsyx.onion[.]cab
hxxp://p6y5jnjxpfiibsyx.onion[.]link
SHA256 Hashes
RY.exe –
7f1023a3d523ab15fe3cceb7fde8038199510703a65dd03d78b9548eb2596b51
Dropped PowerShell
fixed.ps1
cd7ca159f8e8dd057b0591abc2e773d5651a27718eb72e26623e64af859d2826
%USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1
寫入文件
_HELP_instructions.html
.locky