色婷婷激婷婷深爱五月小说-色婷婷精品-色婷婷精品大全在线视频-色婷婷精品视频-全免费午夜一级毛片真人-全免费一级毛片在线播放

首頁 > 安全資訊 > 正文

勒索軟件也放假？假期歸來，警惕Wormhole勒索！

2024-05-08 17:10:51
我要分享


微信掃碼分享

自4月中旬以來，360安全大腦監測到國內一個新興勒索家族，Wormhole勒索軟件開始崛起。在4月下旬，其攻擊量開始達到峰值，最高峰時單日攔截該勒索軟件攻擊數百次之多。

但我們注意到，在隨后的五一勞動節假期期間，Wormhole勒索軟件的傳播出乎意料的出現了暫停(而作為同類傳播方式的老牌勒索軟件TellYouThePass則更喜歡在節假日、休息日發起攻擊)。而且在假期一結束，Wormhole的傳播活動又迅速恢復了其攻擊態勢。因此，我們也更加懷疑，這個勒索黑產團伙，更有可能是國內的攻擊團伙所為。在此，我們提醒管理員，不管是假期還是工作日，都應持續保持警惕，加強網絡安全防護措施，以防被勒索軟件抓到可趁之機。

Wormhole勒索軟件基本信息

Wormhole勒索軟件利用了瑞**翼軟件中的SQL注入漏洞作為其主要傳播手段。此漏洞允許攻擊者在沒有進行適當身份驗證的情況下向數據庫注入惡意SQL代碼，從而獲取對當前系統的非法訪問權限。

圖1. 360安全大腦監控到的入侵攻擊現場命令行快照?

目前，360安全大腦已經監測到Wormhole勒索軟件有兩個主要版本，這兩個版本的勒索軟件僅在加密文件后的勒索策略上存在細微差異。其中一個版本會在被加密的文件后添加“.locked”后綴。在該版本的勒索提示信息中雖明確提出了0.04個比特幣（BTC）的贖金要求，但受害者仍可以通過電子郵件與攻擊者進行談判，并有可能通過這一談判來壓低最終實際成交的贖金金額。以下為該版本勒索軟件的勒索提示信息內容示例：

Hello, your data has been encrypted.

Please pay 0.04BTC to bc1q7wz9ckl72se4n7anr66qqse8pal9dm0t49neq3 within 3 days.

After successful payment, please send an email to DwayneLinette@protonmail.com.

Please note the email content ID and your Bitcoin wallet address, and we will send the decryption program.

ID:HEXVzQ34sfslvP1eGHMprFRmkcnG1HiHwWBpIYtjtE63laCxroKjsOJa2Pt4/IEV

A15cyn3kgPelYS/xLih8MfFsxztsOKFs1CzOzdBSbwF5923543lUDcUZ9rWt/imu

pEjOOpGH6k7xKU7Rjr5lxOG74zltYfu7LT6GjHmTALxTmPHcZ3ny+2FTupCwv02S

1pdB+N4RfmBgGBs7ySUZ4xHm+S4g5+iLHofGf9D2WM04VnS83tpEUQPcexez6dlf

XliQpFkumpZKN0Ce08xK64CNJtNQ8zeU2ChmjkF5tsSlIppY9kqJEq5jLnxcaM+0

rX+Z7IWK2kAMUrtOZC62gQ==

例1 “.locked”版本Wormhole勒索信息內容示例?

而另一個版本則會在被加密的文件后添加“.Wormhole”的后綴。與前一個版本不同，該版本的勒索提示信息并沒有給出明確的勒索金額。受害者只能通過攻擊者提供的TOX ID（一個用于點對點通信的標識符）與其進行聯系和談判。這種缺乏明確贖金金額信息的做法可能會使受害者在談判過程中處于更為劣勢的地位。以下為該版本勒索軟件的勒索提示信息內容示例：

Please contact us via Tox.chat tool or qtox tool

Download Tox.chat https://tox.chat/download.html

Download qtox https://github.com/qTox/qTox/blob/master/README.md#qtox

If your chat Tool cannot connect to the Internet, please set up a proxy.

Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID

503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID:

VbHST64ccz30pcOh3QgjLAWgPmTY/+qANWD7J0QBE1eiMbfVGrQPlquYgGM8VvmF

ROTY4kwKr0oSsBSKAuT39VYq0+dOipI5RAgQ2VdJty46CydCmWppnuFxWiXE8VjO

jYL71QvO38M8zRStasXbUaFVIlJYpAetHgHA94f0pD8SeqgvyhsF+859I4fdhAil

Zp+uoYDKAk6zYOiNwb6NYqAniFhoxlkkG3gNk3R64bZldrp4bbppjZ47DeAn9HYi

lon3LO59qad6vZtoAG5WeVP63g7R7tTxKQ1gvVYJOd4F2ZFj3YAiZdX0MVI4UggI

qdZIKYYdJ4haUlne0WjDSg==

例2 “.Wormhole”版本Wormhole勒索信息內容示例?

Wormhole勒索軟件樣本分析

勒索軟件執行后，首先會搜尋并嘗試結束其內置進程列表中所指定的進程，以此來解除數據文件占用，方便其后續對于數據文件的加密操作。

圖2. 勒索軟件內置的待結束進程列表（部分）

經分析，軟件中內置的完整待結束進程列表如下：

CASAGSService.exe	CASDDNSService.exe	CasLicenceServer.exe
CASRapService.exe	CASVirtualDiskService.exe	CASWebServer.exe
CASXMLService.exe	sqlserv.exe	sqlservr.exe
mysqld.exe	httpd.exe	VSSVC.exe
HipsDaemon.exe	MsgSrv.exe	QQProtect.exe
ReportingServicesService.exe	RUsbServer.exe	SQLAGENT.EXE
sqlwriter.exe	SunloginClient.exe	AdminConsole.exe
KSCloudGuardianX64.exe	KSCloudPlatform2X64.exe	KSCoreServer.exe
KSEasyPrint.exe	KSGatewayX64.exe	QQPCRTP.exe
GSLicenseSvr.exe	BACSTray.exe	sqlmangr.exe
QQPCTray.exe	QQPCRealTimeSpeedup.exe	UserUncServer.exe
CASUncline.exe	KDHRServices.exe	K3MMainSuspendService.exe

表1. 勒索軟件內置待結束進程完整列表

勒索軟件一旦發現當前系統中存在內置列表中的對應進程，便會調用系統API嘗試結束進程。

圖3. 勒索軟件調用系統API嘗試結束進程?

完成上述的“鋪墊”之后，勒索軟件會采用AES256算法對文件內容進行加密。

圖4. 勒索軟件采用AES256算法對文件內容進行加密?

勒索軟件在上述加密文件過程中所使用的AES256由于是一種對稱加密算法，所以其用到的密鑰（本地生成）則需要被再次加密以防止被直接用來進行文件解密操作。而被用來進行這一對密鑰字符串進行二次加密操作的，則是內置在軟件內部的RSA公鑰。

圖5. 勒索軟件內置的RSA公鑰字符串?

最終，被加密后的AES256密鑰則會被寫入到勒索信中的”Your Wormhole ID”處。而完成加密操作后，勒索軟件最終會在被加密的文件名添加”.Wormhole”的后綴。

圖6. 勒索軟件向被加密的文件后添加”.Wormhole”后綴?

在全部的加密過程中，勒索軟件會對一些特定的目錄、文件名以及文件擴展名進行排除（不加密）。

被排除的目錄為：

msocache、$windows.~ws、system volume information、intel、appdata、perflogs、programdata、google、application data、tor browser、boot、$windows.~bt、mozilla、boot、windows.old、Windows Microsoft.NET、WindowsPowerShell、Windows NT、Windows、Common Files、Microsoft Security Client、Internet Explorer、Reference、Assemblies、Windows Defender、Microsoft ASP.NET、Core Runtime、Package、Store、Microsoft Help Viewer、Microsoft MPI、Windows Kits、Microsoft.NET、Windows Mail、Microsoft Security Client、Package Store、Microsoft Analysis Services、Windows Portable Devices、Windows Photo Viewer、Windows Sidebar

被排除的文件名為：

desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf、debugLog.txt、How to recover files encrypted by Wormhole.txt、ruiyouabcd1234.php、phpinfo.php

被排除的文件擴展名為：

msstyles、icl、idx、sys、nomedia、dll、lock、cpl、ics、hlp、com、spl、msi、key、theme、ocx、prf、diagcfg、msu、cmd、ico、msc、ani、icns、diagpkg、deskthemepack、msp、bin、themepack、shs、nls、exe、Wormhole

加密完成后，勒索軟件會留下名為”How to recover files encrypted by Wormhole.txt”的勒索信。其內容中還會留下一個TOX ID用于讓受害者與攻擊者進行聯系。Tox 是一款開源、免費、去中心化、使用端到端加密技術的即時通訊軟件，而這些特性恰恰迎合了此類攻擊者既希望能與受害者取得聯系索取贖金，又對隱匿自身性有著極高要求的特點。