SamSam作者又出来浪了

前言

最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本，编译时间较新，加密后的文件后缀名与之前发现的一款变种一样，同样以.weapologize结尾，样本采用RSA2048+AES加密算法进行加密，加密后的文件无法解密。

一、样本简介

SamSam勒索病毒作为最活跃的勒索病毒之一，在2015-2018年期间，造成了至少3000万美元的社会损失，据调查这款勒索软件至少勒索了价值一千万美元以上的比特币，此前SamSam勒索病毒的两位作者已经被FBI指控，分别为现居住在伊朗的27岁的Mohammad Mehdi Shah Mansour和34岁的Faramarz Shahi Savandi，如下所示：

FBT公布了两个BTC钱包地址，如下所示：

二、详细分析

1. 样本采用NET语言进行编写，如下所示：

查看样本的编译时间，为2018年12月11号，如下所示：

2. 传入相应的三个参数，如果没有参数，则直接退出程序，如下所示：

3. 解密生成勒索相关信息，如下所示：

通过AES算法进行解密，如下所示：

4. 在当前目录下读取存放RSA公钥Key的*.keyxml配置文件，如下所示：

5. 遍历磁盘文件，如下所示：

比较获取到的磁盘文件的文件名，如下所示：

如果文件目录或文件扩展名包含以下文件名或目录，则不进行加密操作，相应的文件名和目录，如下所示：

文件后缀名为:

.weapologize、.search-ms、.exe、.msi、.lnk、.wim、.scf、.ini、.sys、.dll

文件名为：

SORRY-FOR-FILES.html、g04inst.bat、desktop.ini、ntuser.dat

目录包含：

c:\\ProgramData、c:\\windows、c:\\winnt、microsoft\\windows、appdata、
Reference assemblies\\microsoft、recycle.bin、c:\\users\\all users、
c:\\documents and settings\\all users、c:\\boot、c:\\users\\default

6.判断磁盘文件后缀名，如果在加密后缀文件名列表中，则进行后面的加密操作，如下所示：

一共有330个需要加密的文件的后缀名，如下所示：

两个需要加密的数据库后缀名sql、mdf，如下所示：

7. 加密文件，生成.weapologize结尾的加密文件，如下所示：

生成后的加密文件文件名，如下所示：

利用生成的AES的key和iv加密文件，如下所示：

同时使用RAS公钥加密的AES的key和iv等信息并写入到文件中，如下所示：

RSA加密过程，如下所示：

8.生成十个勒索信息超文本文件[0000-0009]-SORRY-FOR-FILES.html，同时删除原文件，如下所示：

生成的勒索信息超文本文件，如下所示：

文件内容如下所示：

红框内容中的为之前传入的三个参数,相应的BTC钱包地址：

1HbJu2kL4xDNK1L9YUDkJnqh3yiC119YM2

三、解决方案

深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种，如下所示：

同时深信服EDR安全团队提醒广大用户：

1. 不要点击来源不明的邮件附件，不从不明网站下载软件

2. 及时给主机打补丁，修复相应的高危漏洞

3. 对重要的数据文件定期进行非本地备份

4. 尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等

5. RDP远程服务器等连接尽量使用强密码，不要使用弱密码

6. 安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能

*本文作者：千里目安全实验室，转载来自FreeBuf.COM