2019-08-26 来源:安全播报
1 恶意代码概况 近期江民赤豹网络安全实验室跟踪捕获一款名为syrk的开源勒索软件,该勒索软件针对《堡垒之夜》游戏玩家,通过伪装成自动瞄准的外挂程序诱导游戏玩家下载安装,最
近期江民赤豹网络安全实验室跟踪捕获一款名为“syrk”的开源勒索软件,该勒索软件针对《堡垒之夜》游戏玩家,通过伪装成自动瞄准的外挂程序诱导游戏玩家下载安装,最终加密受害者的磁盘文件实现勒索目的,由于该游戏玩家众多,因此受到该勒索软件的影响范围较大,江民网络安全实验室第一时间对捕获的样本进行了详细分析,发现该勒索软件具有较大缺陷,因此可以在不缴纳赎金的情况下进行解密,江民赤豹网络安全实验室提醒广大游戏用户谨慎使用游戏辅助工具,安装防病毒软件并保持更新病毒库的习惯,防止遭受恶意代码的攻击。
名称:syrk勒索软件
类型:勒索软件
md5:da6b7ddd28dc387bcd10b180c9bdff58
sha1:c29cd8c4370576afb63deea020bcafd8c0638de0
文件类型:win32 exe
文件大小:12849152 bytes
传播途径:伪装正常文件下载传播、usb感染传播
影响系统:win7,win8,win10
《堡垒之夜》是一款在国内外十分受欢迎的射击类游戏,该系列游戏已有超过2.5亿的注册玩家数量,该游戏在国内由腾讯代理,其热度几乎能与《绝地求生》游戏相媲美。
“syrk”勒索病毒主要通过aes加密算法加密用户特定类型的文件,伪装游戏外挂诱导下载执行,“syrk”还会尝试感染usb驱动器扩大传播。“syrk”会修改系统注册表,释放的cry.ps1脚本,加密过程中使用标准aes算法对指定类型的文件进行加密,加密密钥使用硬编码写在powershell文件中,加密文件会添加后缀.syrk;主程序中还会监视用户是否启动了taskmgr、procmon64、processhacker三个进程,阻止用户启动相关的进程管理工具检查并结束勒索软件进程。
syrk每两个小时删除一次文件来诱骗用户尽快支付赎金,启动释放的文件之后,主程序直接弹出勒索提示,要求用户在2个小时之内联系panda831@protomail.com进行付费解密操作。
1)不从互联网下载可疑的程序执行;
2)使用usb设备前检查拷贝的文件是否正常;
研究人员发现,此勒索样本存在较多缺陷,通过简单操作可以进行解密,无需交付赎金,解密方法如下:
方法一:
由于此样本仅仅使用了aes对称加密算法进行加密,且密钥直接以明文方式硬编码在powershell脚本中,且解密脚本也嵌入在资源节中,因此最简单的方式就是直接将资源中的解密工具复制出来双击即可解密;
方法二:
由于恶意代码在编写过程中的缺陷导致所要求的密码也存放在了本地,可以通过c:\users\default\appdata\local\microsoft\-pw .txt找到密码实现解密,输入密码后即可正常实现文件解密过程;
详细分析报告请访问:
http://www.jiangmin.com/download/syrk.pdf