LaoXinWon携带两个勒索病毒样本，重复加密或增加解密难度

2020-08-06 来源：原创作者：腾讯电脑管家

我要分享

【文章摘要】腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。腾讯电脑管家可查杀拦截此病毒。

一、概述

腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。两款病毒均无法解密，重复加密更是增加了解密难度。腾讯安全专家提醒企业注意防范，腾讯电脑管家可查杀拦截此病毒。

攻击者同时携带了内网共享资源探测工具和进程对抗工具，在加密完成之后，还会清空系统日志，以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱LaoXinWon@protonmail.com购买解密工具。

在勒索病毒攻击加密范围不断扩大，加密方式越发变态的勒索攻击现状下，攻击者携带两款勒索模块可避免单一病毒易被安全策略拦截的风险。同时，攻击者存在重复使用2款勒索病毒对受害者文件进行重复加密的情况，进一步增加了文件解密恢复的难度，受害用户即使支付赎金也可能难以挽回损失。

二、安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登录。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、建议终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

个人用户：

1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码。

2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

三、样本分析

腾讯安全威胁情报中心对受害电脑进行溯源分析，发现攻击者主要携带了以下5个功能模块，其中包含了2个勒索加密病毒，分别由C#和Delphi编写。1个日志清理工具，1个进程管理工具，1个局域网探测工具。

其中Lao.exe为勒索模块，该模块由C#编写，运行后会探测局域网内其它共享资源路径，同时获取本地磁盘分区根路径，以便后续对这些位置的资源进行加密。

病毒加密前会排除一些非系统数据类型格式的文件类型，添加.AES加密扩展后缀。对文件内容的加密过程使用AES算法，AES密钥使用强随机的方式生成。

文件内容加密完成后，AES密钥信息则会使用硬编码的RSA 2048进一步进行加密，后存放于文件尾部，硬编码RSA公钥信息如下：

文件加密完成后被添加.aes扩展后缀，留下勒索信要求联系指定邮箱LaoXinWon@protonmail.com购买解密工具。

laoxinwon.exe同样是一个由Delphi编写的勒索加密模块，运行后首先从内存中解压出大量要使用的勒索关键明文字串（硬编码公钥，加密后缀，勒索信等）信息，经分析研判确认为Scarab勒索家族系列。

今年5月份，腾讯安全威胁情报中心发现国内Scarab勒索家族cov19变种活跃，该家族同样使用较复杂的RSA+AES的加密流程，细节流程如下，该家族同样无法解密。

详细分析报告可参考：《加密文件增加.Cov19扩展名，FushenKingdee勒索病毒正在活跃》

Scarab勒索家族的最新变种同此前分析过的cov19系列勒索一样，会同时加密文件名和文件内容，添加加密扩展后缀.lampar，勒索者的留下的勒索信件联系邮箱依然为LaoXinWon@protonmail.com，同前C#版本的勒索病毒购买联系人信息一致。

同时攻击者还携带了NetworkShare_pre2.exe，该恶意文件的目的为扫描探测内网可攻击的共享资源，proc.exe则为Process Hacker 安装包，主要用于失陷机器内进程上的安全对抗。

CleanExit.exe主要功能为清理Windows系统日志，攻击者在加密攻击完成后，通常会使用该工具清理系统日志，以隐藏其失陷机器的入侵痕迹。在以往发现的真实案例中，我们也看到内网失陷机作为攻击中转机频繁扫描其它内网资产的过程中，攻击者会使用定时任务的形式不断执行系统日志清理程序，从而隐藏其攻击痕迹。

IOCs

MD5

6fba83749c63118f62282f479d18e22a

0d2d97c53b98bcf4a3843e94f4ca6b26

参考链接

《加密文件增加.Cov19扩展名，FushenKingdee勒索病毒正在活跃》

https://mp.weixin.qq.com/s/GnXrOJ2Ep469c0WUbMplag

上一篇： Linux服务器遭遇挖矿蠕虫攻击，已有数千台服务器中招
下一篇：被“incaseformat”蠕虫病毒删除文件？不要慌