启明星辰ADLab首发新型勒索软件Allcry解密工具

2017-10-30 18:20:54 启明星辰 ADLab

更多资讯和分析文章请关注启明星辰ADLab公众号及官方网站(adlab.venustech.com.cn)



背 景

1.       Description


1.       Description

1.       Description


1.       Description


1.       Description


1.       Description


1.       Description


1. Description


1. Description


1. Description


1. Description




近日,启明星辰ADLab收到多个用户单位反馈,其多台服务器感染了一款新型的勒索软件--Allcry勒索软件。目前客户提交给我们的样本为一个伪造成PDF图标的可执行文件,同时通过我们的查证发现网上已经有不少用户感染了该勒索软件,给用户带来了很大的困扰。


收到样本后,启明星辰ADLab迅速对该勒索软件进行了分析并根据其加密原理写出了解密工具,该解密工具可解密Allcry勒索软件加密的所有文件,目前解密工具已提交给用户单位完成被加密文件的解密。Allcry勒索软件受感染用户可通过启明星辰ADLab官方网站下载该解密工具进行解密:http://adlab.venustech.com.cn/list.html?type=security_tools



Allcry勒索软件简介



近期,一些黑客开始对一些有价值的服务器进行渗透入侵并使用Allcry勒索软件来加密这些服务器上的重要文件(如:有针对性的结束各种服务器环境和数据库服务进程以加密数据库文件)。Allcry勒索软件试图借着wannacry威慑力来威胁受害者支付一个比特币的赎金,但其加密过程中并没有采用非对称算法处理秘钥,我们可以根据勒索界面中的HardwareID来实现加密文件的解密。

该勒索软件会随机生成64个字节长度的字符串作为系统的HardwareID,然后将该HardwareID串做一些变换和计算,生成文件加密的秘钥,加密算法采用的是RC4。感染该勒索软件后全盘满足条件的文件会被加密,并且以.allcry后缀名存在于同文件目录下。

感染上Allcry勒索病毒后,主机屏幕会弹出如下勒索界面:

该勒索软件有明显的针对性,主要感染对象以服务器为主,从勒索软件的代码中我们发现其会检测系统中的如下进程(共14个):

sqlservr.exe、mysqld.exe、nmesrvc.exe、sqlagent.exe、fdhost.exe、fdlauncher.exe、reportingservicesservice.exe、omtsreco.exe、tnslsnr.exe、oracle.exe、emagent.exe、java.exe、perl.exe、sqlwriter.exe。

这些进程均是服务器工作的重要组件,如果Allcry勒索软件检测到这些进程,则会强制结束这些进程,以防止相关文件被占用而导致勒索软件加密失败。此外,Allcry会过滤以下目录不予加密:windows、boot、intel、i386、programfiles,过滤以下扩展名不予加密:allcry、cab、dll、msi、exe、lib、sys、wim、dic。



解密工具的使用



通过对Allcry勒索软件加密机制的逆向,我们第一时间编写了一款简单易用的解密工具,可解密Allcry勒索软件加密的所有文件,解密工具运行后其界面如下:

解密工具会自动读取勒索软件写入到注册表中的HardwareID并将其显示在编辑框中,如果解密工具未识别到HardwareID,可通过手动方式将勒索界面中显示的“HardwareID”项的数据拷贝粘贴进去。点击全盘解密按钮后,会在所有加密文件的当前目录下生成解密后的明文文件。

感染后的文件目录:

运行启明星辰ADLab的解密工具进行解密后的文件目录:





启明星辰积极防御实验室(ADLab)



ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员。截止目前,ADLab通过CVE发布Windows、Linux、Unix等操作系统安全或软件漏洞近400个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。