- Fortinet 的 FortiGuard Labs 团队发现开源 勒索软件工具包的变体意外变成了擦除器。
- Cryptonite 是一个开源勒索软件工具包,直到最近才在 GitHub 上免费提供。
- 演示表明,当程序结束时,实际的加密密钥会消失,甚至操作员也无法访问它。
11 月 23 日,Fortinet的 FortiGuard 实验室发布了一篇文章,介绍了用Python编码的 Cryptonite 勒索软件。开源勒索软件工具包在GitHub 上免费提供,直到最近由用户 CYBERDEVILZ 提供。由于显而易见的原因,存储库及其分支已被删除。它使用了加密包的 Fernet 模块和 .cryptn8 扩展名。
从勒索软件到擦除器
最近,FortiGuard Labs 分析了一个新的恶意软件样本,并发布了另一份关于它的报告。根据 12 月 5 日发布的新报告,Cryptonite 的新样本从不提供解密工具,因此充当擦除器。过去我们已经看到擦除器充当勒索软件,但在这种情况下,情况有所不同。
Cryptonite 仅实现勒索软件的准系统功能。它允许操作员配置排除列表、服务器 URL、电子邮件地址和比特币钱包,但仍然非常简单。它还缺少一些重要的勒索软件功能,例如:
- Windows 卷影副本删除
- 文件解锁以获得更彻底的影响
- 反分析
- 防御性规避(AMSI 绕过、禁用事件记录等)
分析时,该团队发现样本可以像预期的那样加密文件,但它没有显示允许受害者使用解密密钥开始解密过程的窗口。起初,团队认为这可能是故意的,并继续进行静态分析。
该团队在反编译代码和来自 GitHub 的恶意软件模板之间创建了一个差异,显示在程序枚举文件系统时删除了五行。在动态分析中,该团队发现勒索软件尝试在warningScreen()函数中使用tkinter库时失败。此时在这个勒索软件中,加密过程已经完成。warningScreen ()应该显示赎金记录并允许受害者开始解密。该团队表示,
« 我们现在可以看到,勒索软件并不是有意变成擦除器的。相反,缺乏质量保证导致样品无法正常工作。这个缺陷的问题在于,由于勒索软件的设计简单,如果程序崩溃,甚至关闭,就无法恢复加密文件。
首先,无法以“仅解密”模式运行程序。每次执行时,它都会在向受害者提供解密之前使用不同的密钥重新加密所有内容。
其次,如图 7 所示,在第 10 行生成密钥以实例化用于加密的 Fernet 实例。该密钥是真正的加密密钥。但是,它永远不会在代码中再次使用,也不会发送给操作员。
生成另一个随机数。在 Cryptonite 类的构造函数中,dkrpt 值用于填充 decryptPlease 变量。随后,该密钥被发送给运营商。如果支付赎金,这是提供给受害者的密钥。为了检查受害者是否拥有正确的密钥,将提交的值与 decryptPlease 进行比较。对于实际的解密,使用已经存储了初始生成密钥的 Fernet 实例。»
因此,当程序结束时,实际的加密密钥就消失了,甚至操作员也无法访问它。在本次分析回顾的案例中,当程序异常崩溃时,被加密的数据无法恢复。
