对新型勒索软件LokiLocker的分析

对新型勒索软件LokiLocker的分析

确定新的勒索软件系列:LokiLocker RaaS 以 Windows 系统为目标

概述

BlackBerry Threat Intelligence 已经确定了一个新的勒索软件即服务[Ransomware-as-a-Service] (Raas) 系列,并跟踪其沿袭到可能的 beta 发布阶段。与许多其他勒索软件一样,LokiLocker 会加密您的文件,如果您不及时付款,您的机器将无法使用。然而,就像它的同名神洛基一样,这种威胁似乎有一些微妙的技巧——尤其是一种潜在的“假旗”策略,将矛头指向伊朗的威胁行为者。

对新型勒索软件LokiLocker的分析

在北欧神话中,洛基是一个完美的骗子,可以随意变形。众多头脑发热的火神之一,洛基本身就是其他神祇的敌人,经常不请自来地进入他们的宴会并大吃大喝。LokiLocker 同样坚持收购它没有合法要求的东西。

LokiLocker 是一个相对较新的勒索软件系列,针对讲英语的受害者和 Windows® PC;该威胁于 2021 年 8 月中旬首次在野外被发现。不应将其与2016 年臭名昭著的名为Locky的较早的勒索软件家族或信息窃取者LokiBot 混淆。它与 LockBit 勒索软件有一些相似之处(注册表值、勒索文件文件名),但它似乎不是它的直接后代。

就像它以它的名字命名的神一样,LokiLocker 不请自来地进入了受害者的生活,并开始寻找可以盗窃的财产。然后,威胁会加密他们的文件,并要求他们支付赎金以恢复访问权限。该恶意软件是用 .NET 编写的,并使用名为 KoiVM 的附加虚拟化插件使用 NETGuard(修改后的 ConfuserEX)进行保护。KoiVM 曾经是.NET 应用程序的许可商业保护器,但在 2018 年左右,它的代码是开源的(或可能泄露),现在它在 GitHub 上公开可用。尽管 Koi 似乎很受黑客工具和破解的欢迎,但迄今为止我们还没有看到很多其他恶意软件使用它。

毁灭者洛基

LokiLocker 使用用于文件加密的 AES 和用于密钥保护的 RSA 的标准组合来加密本地驱动器和网络共享上的受害者文件。然后它要求受害者向攻击者发送电子邮件,以获取有关如何支付赎金的说明。

LokiLocker 还拥有一个可选的擦除器功能——如果受害者没有在攻击者指定的时间范围内付款,所有非系统文件将被删除并覆盖 MBR,擦除所有受害者的文件并使系统无法使用。

LokiLocker 是一种限制访问的勒索软件即服务计划,似乎被出售给相对少数经过仔细审查的附属机构。每个会员都由一个选定的用户名标识,并被分配一个唯一的聊天 ID 号。目前,黑莓研究人员在野外发现的 LokiLocker 样本中有大约 30 个不同的“VIP”附属机构。

该勒索软件的最早样本之一最初分布在特洛伊木马化的 brute-checker 黑客工具中,例如:

  • PayPal BruteChecker
  • Spotify BruteChecker
  • PiaVPN Brute Checker By ACTEAM
  • FPSN Checker by Angeal (由MR_Liosion破解)

暴力检查器是用于自动验证被盗帐户并通过称为凭证填充的技术访问其他帐户的工具。在将恶意软件提供给更广泛的附属机构之前,与这些黑客工具一起分发的 LokiLocker 版本可能构成某种 Beta 测试阶段。

我们观察到的受害者似乎分散在世界各地(这并不意外,因为不同的分支机构可能有不同的目标模式),主要集中在东欧和亚洲。

尽管我们无法可靠地评估 LokiLocker RaaS 的确切来源,但值得一提的是,所有嵌入式调试字符串都是英文的,而且 – 与来自俄罗斯和中国的大多数恶意软件不同 – 该语言基本上没有语法错误和拼写错误

此外,也许更有趣的是,用于分发 LokiLocker 第一批样本的一些破解工具似乎是由名为 AccountCrack 的伊朗破解团队开发的。此外,至少三个已知的 LokiLocker 附属机构使用可以在伊朗黑客频道上找到的唯一用户名。目前尚不清楚这是否意味着它们真正来自伊朗,或者真正的威胁行为者正试图将责任归咎于伊朗袭击者。

剖析LokiLocker

要检查 C# 代码,我们必须首先在 DNSpy 中打开二进制文件以进行反编译。我们可以看到“svchost.exe”的原始文件名,以及对 NETGuard/KoiVM v0.2.0-custom 的引用,如图 1 所示。

对新型勒索软件LokiLocker的分析
图 1 – KoiVM 混淆器版本

当我们检查命名空间时,我们会立即看到两个标记类,“Koi”和“NETGuard”,以及许多带有混淆函数名的类。这些函数名称都以字母“Z”的倍数为前缀,如图 2 所示。这也适用于其他命名空间。

对新型勒索软件LokiLocker的分析
图 2 – Koi、NETGuard 和混淆的类名

顾名思义,KoiVM 是一个虚拟机 (VM),旨在在 C# 混淆器 ConfuserEx 上运行。虚拟化是一种更具挑战性的混淆形式。如KoiVM 文档中所述,这是通过“将 .NET 操作码转换为只有我们的机器才能理解的新操作码”来完成的。

通常,可以使用名为 OldRod 的工具对 KoiVM 的普通实现进行去虚拟化,该工具是专门为击败 KoiVM 虚拟化并使反编译的代码更易于人眼理解而开发的。但是,修改 KoiVM 以使 OldRod 无法找到特定签名或所需数据是微不足道的。除非您修改工具本身来处理这些修改,否则可能会导致去虚拟化尝试失败。

对于 BlackBerry 研究人员分析的样本,OldRod 失败了,因为在 COR20 元数据表头中没有列出#Koi流,这让我们回到了第一个问题。

重要的是要注意几个感兴趣的命名空间的存在,尤其是那些以“Loki”开头的命名空间,如图 3 所示。如果我们检查类中包含的代码,我们可以看到存在问题(现在!) : 它们要么是空的,要么 DNSpy 在反编译时抛出错误。

对新型勒索软件LokiLocker的分析
图 3 – Loki 函数 – 为空或无法反编译

Loki.Pinvoke包含类 ZZZZX(如图 4 所示),它本身包含各种 Windows API 的包装器。调用这些包装器之一将导入 DLL 和指定的函数。这具有删除对 Windows API 的任何直接调用的额外好处。例如,对 Kernel32.dll 的FindNextFile的任何调用只需要调用 C# 函数 ZZZZZf。

对新型勒索软件LokiLocker的分析
图 4 – WinAPI 包装器

另外值得注意的是“附属配置”,它包含几个配置选项,我们将进一步详细探讨。

对新型勒索软件LokiLocker的分析
图 5 – Loki 配置

现在我们已经了解了二进制文件的一些关键特性,是时候动手深入研究这个勒索软件了。

解包

虽然 OldRod 无法为我们去虚拟化二进制文件,但一切都还没有丢失。使用一些老式的肘部油脂和调试魔法,我们仍然可以通过老式的方式处理二进制文件。我们发现 DNSpy 未能在入口点或进程创建上设置断点,并且通过导航到第一个命名空间构造函数 ( .cctor),我们可以对Koi()函数的初始调用设置断点并介入,导致我们看到图6 下。

对新型勒索软件LokiLocker的分析
图 6 – KoiVM 虚拟化功能

Koi() 类中有 324 次函数调用。但是,很多都是重复的,大概是在设置 VM 环境。在我们感兴趣的电话中,只有三个是重要的——第一个、倒数第二个和最后一个。

第一个解包函数

第一个函数通过一系列复杂的 XOR 和变量赋值来获取模块基地址并继续在内存中对其自身的一部分进行解码。完成此操作后,将使用 PAGE_EXECUTE_READWRITE 权限调用 VirtualProtect。

然后,最后一个循环将更多数据解码到其权限已更改的同一位置。第一个函数的总体目的似乎是解码一些额外的解码函数以供以后使用。

第二个(最后一个)解包函数

最初,在全局变量中定义了一个大字节数组,如图 7 所示,其中每个字节都针对其在字节数组中的位置进行异或运算。此操作完成后,将使用 GZIP 解压缩生成的数据。

对新型勒索软件LokiLocker的分析
图 7 – ByteArray 定义、XOR 解码、GZip 解压

然后,这些数据用于填充之前为空或无法反编译的函数,我们最初在图 3 所示的“ Loki.*”类中看到了这些函数。

这甚至不是我的最终形式功能!

虽然重要的功能现在已经被解码和解析,但在执行被传递到 Loki 的核心之前还需要采取最后一步。此功能会破坏可执行文件,以通过几种不同的方式逃避扫描解决方案。

与第一个函数类似,检索内存中模块的句柄。从那里开始进行一些操作,例如分别使用 NtContinue 和 Ntdll.dll 将两个字符串覆盖到 CoreExeMain 和 Mscoree.dll 的导入描述符表中。完成此操作后,该文件将更改 PE Section Table Header 和 COR20 MetaData Table Headers 的权限。它这样做是为了可以用空字节覆盖这些标头。下面的图 8 显示了此函数的片段以供参考。

对新型勒索软件LokiLocker的分析
图 8 – IDT 操作和覆盖标头

此函数完成后,二进制文件将跳转到 LokiLocker 核心的 main 函数的开头,如下面的图 9 所示。

现在我们已经完成了示例的解包,让我们看看 LokiLocker 的核心功能。

功能性

调试日志

LokiLocker 可以使用 –log 参数执行,这将在“<malware_execution_path>\logs.txt”中保存详细的感染日志。

对新型勒索软件LokiLocker的分析
图 9 – 使用“–log”执行参数重新标记的“main”函数

虽然核心样本在一定程度上仍然被混淆了,但这些高度描述性的调试字符串的存在使这种费力的分析变得容易了一些。

持久性

执行后,恶意软件会将自身复制到“%ProgramData%/winlogon.exe”,将其属性设置为隐藏和系统,并创建一个名为“LokiLocker”的互斥锁。

它通过以下几种方式实现持久性:

  • 通过创建计划任务以在每次登录时执行恶意软件二进制文件:
schtasks /CREATE /SC ONLOGON /TN Loki /TR %ProgramData%\winlogon.exe /RU SYSTEM /RL HIGHEST /F

通过在 HKCU 和 HKLM 键下的 Software\Microsoft\CurrentVersion\Run 中添加以下值:


“Michael Gillespie” = %ProgramData%\winlogon.exe

通过将恶意软件可执行文件复制到 Common Startup 文件夹

上面示例中引用的 Michael Gillespie 是一位著名的反勒索软件研究人员的名字,他在 Twitter 和 Bleeping Computers 论坛上非常活跃。这不是恶意软件编写者第一次像这样向安全研究人员发出“挑衅”,但这是一个罕见的事件。另一个类似的例子是 Maze 勒索软件,它使用另一位著名的反勒索软件研究人员的名字作为其“killswitch”文件名。

准备

在加密过程开始之前,恶意软件会执行以下操作:

  • 读取其配置;默认配置选项在二进制文件的 Config 类中被硬编码,但它们可以被从配置文件中读取的值所抑制
  • 如果名为 loki.txt 的配置文件存在,它会将其复制到 %ProgramData%\config.Loki 并从那里读取配置值
  • 显示假的 Windows 更新屏幕(如果配置为这样做)
  • 杀死指定的进程
  • 停止指定的服务
  • 禁用 Windows 任务管理器(如果配置为这样做),并将包含以下内容的 wvtymcow.bat 文件放入 Startup 文件夹:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /fac
  • 删除系统备份和卷影副本
  • 禁用 Windows 错误恢复
  • 禁用集成防火墙
  • 删除系统还原点
  • 清空 Recycle.bin
  • 禁用 Windows Defender
  • 更改用户登录说明(如图 10 和 11 所示)
对新型勒索软件LokiLocker的分析

图 10 – 更改用户登录的代码

对新型勒索软件LokiLocker的分析

图 11 – LokiLocker 的用户登录说明

  • 更改注册表 SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation 中的原始设备制造商 (OEM) 信息(如图 12 所示)
对新型勒索软件LokiLocker的分析
图 12 – 更改 OEM 信息的代码

网络通讯

恶意软件在 POST 请求中向托管在命令和控制 (C2) 服务器上的 index.php 脚本发送包含以下信息的信标,如图 13 所示。C2 的 URL 被硬编码在二进制文件的配置中,并且设置为loki-locker[.]one。“user”和“chat-id”字段是硬编码的,而其他信息是根据受害者的系统属性生成的:

  • 唯一 ID= <volume_serial_number>
  • 磁盘大小= <size_of_main_drive>
  • 用户= <hardcoded_affiliate_username>
  • 中央处理器名称= <cpu>
  • ram-size= <physical_memory>
  • 操作系统名称= <name_of_operating_system>
  • 聊天 ID=<hardcoded_number>
对新型勒索软件LokiLocker的分析
图 13 – 部分网络通信代码(POST 到 index.php)

URL 解析为 91[.]223[.]82[.]6。所有通信中使用的用户代理是 Loki/1.0。

作为来自 C2 的响应,恶意软件需要 JSON 对象形式的混淆公钥。响应缓冲区的最大大小为 0x100000(1048576 字节)。

{
    “public” : ”[ base64(xor(attackers_public_key, 0x0652)) ]”,

    “message_id” : [int]

}

恶意软件还与同一服务器上的“tg.php”脚本通信,如图 15 所示,这似乎是来自机器人的状态更新的 API 端点。它主要用于通知 C2 加密过程的进展情况。可以将以下参数传递给脚本:

  • unique_id
  • action
  • msg-id
  • chat-id
  • status
  • elapsed-time

生成的请求如下所示:

对新型勒索软件LokiLocker的分析
图 14 – LokiLocker 的 POST 请求
对新型勒索软件LokiLocker的分析
图 15 – 部分网络通信代码(POST 到 tg.php)

加密

该恶意软件为受害者创建了一个 RSA-2048 密钥对,使用攻击者的公共 RSA 密钥对其进行加密,然后将其保存到注册表中。

恶意软件会创建密钥 HKCU\Software\Loki 和以下值:

  • Public ——包含受害者的 XML 格式的公共 RSA 密钥,然后用 XOR 0x11 进行混淆。

<RSAKeyValue><Modulus>modulus</Modulus><Exponent>exponent</Exponent></RSAKeyValue>

Full – 包含受害者的完整密钥对,使用攻击者的公钥加密。一个 base64 编码的副本也保存在每个驱动器的根目录和用户的特殊目录中的文件“cpriv.Loki”中。


<RSAKeyValue><Modulus>modulus</Modulus><Exponent>public_exponent</Exponent><P>prime_1</P><Q>prime_2</Q><DP>exponent_1</DP><DQ>exponent_2</DQ><InverseQ>coefficient</InverseQ><D>private_exponent</D></RSAKeyValue>
  • Timer – 一个日期时间值,即赎金到期日期,格式为 yyyyy,MM,dd,HH,mm,ss,用 XOR 0x54 编码。这是恶意软件通过删除所有非系统文件并覆盖 MBR 来擦除驱动器的确切时间。默认日期是初始恶意软件执行日期后 30 天,但这可以通过配置文件进行更改。

LockBit 勒索软件的版本使用了类似的注册表项。

恶意软件二进制文件中存储了五个不同的 RSA 公钥,尽管攻击者也可以通过 C2 提供另一个公钥。由于所有分支机构的 C2 服务器都是相同的,这表明 RaaS 所有者让自己可以选择发送自己的公钥来保护受害者的私钥,这意味着他们将能够解密所有分支机构受害者的文件。

如果配置为这样做,恶意软件将扫描网络以查找任何可用的网络共享。然后它将开始加密过程,从本地用户目录中的以下特殊文件夹开始:

  • 收藏夹
  • 最近的
  • 桌面
  • 个人的
  • 我的照片
  • 我的视频
  • 我的音乐

LokiLocker 然后继续创建一个单独的线程,用于加密每个本地驱动器或网络共享,具体取决于其配置。

每个文件在 GCM 模式下使用 AES-256 加密,使用随机生成的密钥;然后使用受害者的公共 RSA 密钥对密钥进行加密。

加密线程还执行以下操作:

  • 将所有加密卷的标签更改为“Locked by Loki”
  • 将赎金记录放到每个加密文件夹中
  • 删除名为“info.Loki”的 HTA 文件
  • 使用 %ProgramData% 目录中的随机名称删除并执行 HTA 文件的启动器
  • 更改桌面墙纸,如图 16所示
  • 创建一个线程,如果启动,将立即杀死 cmd.exe、taskmgr.exe 和 regedit.exe 进程
  • 如果配置为这样做,则在加密后关闭系统
对新型勒索软件LokiLocker的分析
图 16 – LokiLocker 桌面壁纸

清除功能

如果配置为这样做,如果在指定的时间范围内未支付赎金,恶意软件将尝试擦除系统。如图 18 所示,它会删除受害者所有驱动器上的文件,系统文件除外,它还会尝试覆盖系统驱动器的主引导记录 (MBR) 以使系统无法使用。然后它将在重新启动后显示来自攻击者的以下消息:

对新型勒索软件LokiLocker的分析
图 17 – 重新启动已擦除系统后显示的 LokiLocker 消息

覆盖 MBR 后,LokiLocker 将尝试通过强制蓝屏死机 (BSOD) 来使系统崩溃。

对新型勒索软件LokiLocker的分析
图 18 – LokiLocker 的擦除器代码

配置

LokiLocker 具有多个可配置部分。大多数可配置信息在构建过程中被硬编码到客户端二进制文件中,而一些设置可以在运行时使用简单的文本文件进行更改。

除了附属相关信息和执行选项之外,在构建过程中可能可配置的其他字段是要通过 cmd.exe 执行的命令列表,以及恶意软件将尝试杀死的进程和服务的列表。在我们看到的样本中,到目前为止,这些字段是一致的。

会员配置

主要的“附属”配置部分包含诸如附属名称、电子邮件地址、C2 URL、自述文件名和内容以及要添加到加密文件的扩展名等信息。它还有一个聊天 ID 号——大概用于在受害者联系攻击者时识别受害者——以及一个超时值(以天为单位),之后恶意软件将尝试擦除系统。

附属配置存储在 Loki.Config 类中,并且可能由勒索软件构建器在生成客户端二进制文件期间嵌入。

配置键配置值
Email 1“d4rkw4ve[at]tutanota[.]com”
Email 2“dark4wave[at]yandex[.]com”
Campaign or Affiliate name“darkwave”
Chat ID<redacted>
Extension“. Loki”
Readme file name“Restore-My-Files.txt”
Ransom noteSee Figure 21
Wiper timeout30
C2 URL“loki-locker.one”


执行选项

Config 类还存储其他执行选项的默认值。这些选项可以通过一个简单的文本文件进行修改,该文件必须与勒索软件二进制文件放在同一文件夹中。

配置选项描述默认设置
update显示虚假的 Windows 更新屏幕true
nostartup不要将勒索软件可执行文件复制到启动真的
nons不要扫描/加密网络共享true
nocdrive不要加密 C 盘true
justns仅扫描/加密网络共享 false
nofuck不要擦除系统和 MBRtrue
disabletask禁用任务管理器false
clast最后加密 C 盘false
full完全加密false
norun退出进程false
shutdown显示赎金记录后关闭系统false
自定义配置文件名“loki.txt”
配置文件的目的地“config.Loki”


执行的命令

netsh firewall set opmode mode=disable

netsh advfirewall set currentprofile state off

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin DELETE SYSTEMSTATEBACKUP

wbadmin delete catalog -quiet

vssadmin delete shadows /all /quiet

wmic shadowcopy delete

schtasks /CREATE /SC ONLOGON /TN Loki /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F

要杀死的进程和服务

wxserver
wxserverview
sqlservr
ragui
supervise
culture
rtvscan
defwatch
winword
qbw32
qbdbmgr
qbupdate
qbcfmonitorservice
axlbridge
qbidpservice
httpd
fdlauncher
msdtsrvr
tomcat6
zhudongfangyu
vmware-usbarbitator64
vmware-converter
dbsrv12
msftesql
sqlagent
sqlbrowser
sqlwriter
oracle
ocssd
dbsnmp
synctime
agntsvc
mydesktopqos
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
agntsvc
agntsvc
agntsvc
encsvc
firefoxconfig
tbirdconfig
ocomm
mysqld
mysqld-nt
mysqld-opt
dbeng50
sqbcoreservice
excel
infopath
msaccess
mspub
onenote
outlook
powerpnt
steam
thebat
thebat64
thunderbird
visio
winword
wordpad
defwatch
ccevtmgr
ccsetmgr
savroam
sqlserv
sqlagent
sqladhlp
culserver
rtvscan
sqlbrowser
sqladhlp
qbidpservice
quickboooks.fcs
qbcfmonitorservice
sqlwriter
msmdsrv
tomcat6
zhundongfangyu
vmware-usbarbitator64
vmware-converter
dbsrv12
dbeng8
wrapper
mssqlserver
mssql
contoso1
msdtc
sqlserveragent
vds

国家名单(跳过?)

该恶意软件定义了一个字符串数组,其中可能包含要从加密中排除的国家列表。在我们目前看到的所有示例中,这个列表只包含一个条目——“伊朗”——如图 19 所示。似乎这个功能还没有实现,因为代码中没有对这个数组的引用。然而,就像提到伊朗攻击者和黑客工具一样,它也可能是一个旨在误导我们注意力的虚假标志。

对新型勒索软件LokiLocker的分析
图 19 – “伊朗”字符串

投放的文件

HTA 文件

除了纯文本自述文件外,该恶意软件还丢弃了一个如图 20 所示的 HTA 文件,该文件在受害者的桌面上显示了 HTML 格式的赎金记录。

对新型勒索软件LokiLocker的分析
图 20 – HTA 文件显示的消息
All your files have been encrypted by Loki locker!

All your files have been encrypted due to a security problem with your PC.

If you want to restore them, please send an email {EMAIL_1}

You have to pay for decryption in Bitcoin. The price depends on how fast you contact us.

After payment we will send you the decryption tool.

You have to 48 hours(2 Days) To contact or paying us After that, you have to Pay Double.

In case of no answer in 24 hours (1 Day) write to this email {EMAIL_2}

Your unique ID is : {UNIQUE_ID}

You only have LIMITED time to get back your files!

If timer runs out and you dont pay us , all of files will be DELETED and you hard disk will be seriously DAMAGED.

You will lose some of your data on day 2 in the timer.

You can buy more time for pay. Just email us.

THIS IS NOT A JOKE! you can wait for the timer to run out ,and watch deletion of your files :)

 

What is our decryption guarantee?

Before paying you can send us up to 3 test files for free decryption. The total size of files must be less than 2Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

 

Attention!

DO NOT pay any money before decrypting the test files.

DO NOT trust any intermediary. they wont help you and you may be victim of scam. just email us , we help you in any steps.

DO NOT reply to other emails. ONLY this two emails can help you.

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

翻译过来大体意思就是:


由于您的 PC 存在安全问题,您的所有文件都已加密。

如果您想恢复它们,请发送电子邮件 {EMAIL_1}

你必须支付比特币的解密费用。价格取决于您与我们联系的速度。

付款后,我们将向您发送解密工具。

您必须在 48 小时(2 天)内联系或付款给我们,之后,您必须支付双倍的费用。

如果在 24 小时(1 天)内没有回复,请写信至此电子邮件 {EMAIL_2}

您的唯一 ID 是:{UNIQUE_ID}

您只有有限的时间来取回您的文件!

如果计时器用完而您不付款,所有文件将被删除,您的硬盘将受到严重损坏。

您将在第 2 天的计时器中丢失一些数据。

你可以买更多的时间来付钱。只需给我们发电子邮件。

这不是一个玩笑!您可以等待计时器用完,然后观看删除文件:)

 

我们的解密保证是什么?

在付款之前,您可以向我们发送最多 3 个免费解密的测试文件。文件的总大小必须小于 2Mb(未归档),并且文件不应包含有价值的信息。(数据库、备份、大型 Excel 工作表等)

 

注意!

在解密测试文件之前不要支付任何费用。

不要相信任何中介。他们不会帮助你,你可能会成为骗局的受害者。只需给我们发电子邮件,我们会在任何步骤中为您提供帮助。

不要回复其他电子邮件。只有这两封电子邮件可以帮助您。

不要重命名加密文件。

请勿尝试使用第三方软件解密您的数据,这可能会导致数据永久丢失。

在第三方的帮助下解密您的文件可能会导致价格上涨(他们会向我们收取费用),或者您可能会成为诈骗的受害者。

HTA 代码还显示了一个伪造的 Windows 更新框,如图 22 所示,然后从“C:\ProgramData\winlogon.exe”执行一个新的勒索软件进程,并尝试访问 https[:]//picc [.]io/X8GRzsw.gif。URL 解析为 3[.]64[.]163[.]50,但在撰写本文时内容已不再可用。

对新型勒索软件LokiLocker的分析
图 22 – HTA 代码的一部分

HTA 代码创建了一个 Google Tag Manager (gtag) 数据层,如图 23 所示,用于存储一些元数据:

对新型勒索软件LokiLocker的分析
图 23 – HTA 代码对 gtag 的使用

HTA 启动器

LokiLocker 丢弃了一个小二进制文件,用于显示图 24 中包含的消息,并使用 mshta.exe 启动“info.Loki”HTA 文件。该二进制文件是使用 C# 编译器从嵌入式 C# 代码动态编译的。

对新型勒索软件LokiLocker的分析
图 24 – HTA 启动器代码
This file and all other files in your computer are encrypted by Loki locker.

If you want to restore this file and rest of your files, Please send us message to this e-mail : <attackers_email>

Write this ID in the title of your message : <victim_id>

We will help you, in any steps.

In case of no answer in 24 hours, write us to this e-mail : <attackers_email_2>

翻译:

此文件和您计算机中的所有其他文件均由 Loki 储物柜加密。

如果您想恢复此文件和其余文件,请向我们发送消息至此电子邮件:<attackers_email>

在您的消息标题中写下此 ID:<victim_id>

我们将在任何步骤中为您提供帮助。

如果 24 小时内没有回复,请写信给我们:<attackers_email_2>

网络扫描仪

我们注意到与 LokiLocker 结合使用的两种网络扫描形式。第一个是内置的网络扫描仪,它可以识别网络共享以安装和加密它们。

还观察到分发 LokiLocker 的威胁参与者使用名为“NS”的网络扫描程序实用程序,他们将其放入受害者的环境中。该工具是一个简单的命令行扫描程序,列出已安装和未安装的本地驱动器和网络共享,如图 26 所示。

对新型勒索软件LokiLocker的分析
图 26:NS.exe 工具

NS.exe 自 2018 年以来一直出现在 VirusTotal 上,并且在多个不同的勒索软件活动中都可以看到它:DharmaPhobosLockBitRevil – 仅举几例。关于这个工具的情报不多,但它似乎作为许多基于 RaaS 的威胁的一部分或与许多基于 RaaS 的威胁一起分布在暗网上。

结论

LokiLocker 勒索软件擅长在用户的终端上造成混乱,并且,就像它的同名北欧神一样,如果不通过(金融)产品来安抚,它可能会被证明是报复性和破坏性的。LokiLocker 使用 KoiVM 作为 .NET 应用程序的虚拟化保护器是一种使分析复杂化的不寻常方法。我们还没有看到很多其他威胁参与者使用它,所以这可能是一个新趋势的开始。

包含“伊朗”代码也很有趣,因为尚不清楚该代码段是否或如何使用。通常,国家列表旨在将“友好领土”排除在潜在伤害之外。但由于此代码不似乎被使用了, 这可能是一个诡计, 包括希望研究人员将 LokiLocker 的创造归咎于伊朗. 还有一个事实是, 一些已知最早的 LokiLocker 附属机构使用的用户名只能在伊朗黑客攻击中找到渠道。此外,伊朗的破解工具已被用于分发该勒索软件的初始样本。这些细节进一步混淆了水域。与骗子和威胁参与者,很难区分有意义的线索和虚假标志之间的区别——而且人们永远无法确定骗局到底走多远。

为了防止 LokiLocker 和类似的 RaaS 产品受到感染,最好的规则是始终拥有数据(或公司数据)的备份副本。这应该离线存储并拔下电源,最好是在您的备份驱动器被 LokiLocker 攻击并加密的情况下。

下载文件(包括新程序和软件)时,请注意仅从受信任的官方站点下载,而不是从第三方或点对点(盗版)站点下载,这些站点通常在看似无害或“破解”的软件中隐藏恶意文件. 电子邮件附件也是如此——即使是来自受信任联系人的附件,也应谨慎处理(最好在打开前使用最新的防病毒程序进行扫描)。

在撰写本文时,还没有免费工具可以解密 LokiLocker 加密的文件。如果您已经感染了 LokiLocker 勒索软件,大多数官方安全机构(例如FBI)的建议是不要支付赎金。除了每个支付赎金的受害者都会使勒索软件的全球增长长期存在这一事实之外,请记住,您在这里与犯罪分子打交道,即使您付了钱,也无法保证您将重新获得对数据的访问权限。最后,即使您的数据已恢复,也无法知道攻击者是否在您机器的某个位置植入了后门,以便日后访问。毕竟,支付一笔赎金的人通常可以被说服支付另一笔赎金。

当涉及到所有类型的勒索软件时,作为防御者,我们能做的最好的事情通常是尽一切努力领先威胁行为者一步,即使过程证明是复杂和艰巨的。

如果您是勒索软件的受害者:

侵害指标(IOCs)

0684437b17ae4c28129fbb2cfe75b83cc8424ba119b9ca716ad001a284d62eadSHA256
15d7342be36d20ce615647fac9c2277f46b6d19aa54f3cf3d99e49d6ce0486d0SHA256
1a4a3bfb72f3a80e4b499ecebe99f53a2b7785eace7f612b3e219409d1e1ffc7SHA256
2a7f01d924a4fc38c9fad586634eccbc28de07d97531c4a02eb6085359093a45SHA256
37702b94f9fc14a406312a2a392ad9553cf05c4b6870d94b5cf4781c02c29414SHA256
4215b5ce91deb97011cba2dd94d5bac1a745d6d55f6938b86e209eaaf8e655dfSHA256
52c045b57e24585467be13454c5db551987fd23bfa931a7f6ab41e6f11b8a7ecSHA256
55da12a82c8e0b9fda5dbba6612627c0ee5d13d55e3bcc1df2ca9785c97caf64SHA256
5ccee068daf8a672d0e63e334e00985aa7fe56aa26b6c036d562728fdf968237SHA256
6205056cd92c75579f56bd0ce7159fae9f360d4c183beb10743330952bf22056SHA256
630e24cc1c4c95321965ad967e77e1888c48c4b1f653d800c7df08e879814787SHA256
75a5d27c77cf8515cff84d789f0e8f849b37e15b9b5f1c0801bab414061048a6SHA256
78a530f35d1cc89fc757b7661cbd57b2e9e46aeed53e2e66247db66c214a2ba0SHA256
7f23ea1e5ab087ba2c4e0ea251d680ef5190d49181efcc222702075b276d5990SHA256
8630df622ee773c3d9c934fe9d925c019b43232e8f2810ee651dcf5f3ec79893SHA256
88acae18f2cf7de7bb76784d45d9612561c8890872ea3629f0608577928745a5SHA256
8de5b9332556da8f401c5cbf3cea1dbc1e1ba277c0efa85dce8cd36310c2936cSHA256
8f78555f0f62b4f280a77109dbaa4aeb5c347d1ea38b521f98c57a7acea8087eSHA256
8f8cf6b8cd0c789d3f67f6291bb7c0c5416e27320631c852152a63513185941eSHA256
a1e30ea263ba21d656717f7f7824ecb2dc90896f55eae134afaf7691209979fdSHA256
ac1b326f23e17726a2b90ce8a9d29c6e44a2cb37b431e2b94734bdd17618ae26SHA256
adacbc5402326f87c76cc7737ad924ce5bd7394400ef86a48fa754af9d22da66SHA256
b01a96892f3efdaa6682078339b23d8954d571c27ee15a4ce9ef8ad6c415f06dSHA256
b8996e435ba229837d13f9837f6c0451f50a5767b0d1f1bb715670c802a1d564SHA256
c3fe7ee5451108c16d7730d0bf589f70b841f3846908c1761d827a70f3462ef0SHA256
c80513aaff11a2a2914d3a674737f63fbc04c6d5de7fda6f8b6e07df580664cfSHA256
c8e8599e8d86ff7daf02ea9c01d31f4cdcf829314c76b84d1b1b8a982d1299c5SHA256
cb17673f3cde6e542db3ff5facee2a01fdec462be275e9274c512038470009d1SHA256
da0a82d322502cd6d156649dee1e0a45348df0dce272b6ae2dd81af25f774c62SHA256
df24b04f6ff0ac50fbf1c01ee02f809c1c3f9fbe9d14eefc3306b1b586bf943eSHA256
e28b0a93649010788bbeda883a08254fefe3710700fc2c5a8dea94ec39402ec3SHA256
f2da3d1410c5058720a4307acf5fec7fc2b54285be9dd89eae108cce368dcde7SHA256
fe930861d5eec95a3ea1239e7a8f4182a2cf5b094ac3a48c4cb2f0ef39facd05SHA256
fffcf4be17e732aa3a5387e747290236d0f75ff3a24cb43eca793668d7772dddSHA256
4e6471c4574152d0eb2d2c608e540e505f3db41b50997d1f06c47e587a355d80SHA256
7c890018d49fe085cd8b78efd1f921cc01936c190284a50e3c2a0b36917c9e10SHA256
9ab1694c978f11521c6bca73d40256e4b433f3279792db8ae1fecc5e0ad174c9SHA256
ebc955f12b0a2b588efca6de0af144dd00e33ead80185a887bf7c97329b28ec6SHA256
1e6ecdb54224eea50476be03d5a48083deae15301f26ba3519e0c0a5eb77b1f4SHA256
268c2924d45c0c7be9b67b85f03ddf5df97f2bc8963faefe1bec244e0cb95225SHA256
36b5fe49cd81393f8c60c70c941a1e6aaf181775b0614f1c4a142f38c7af1a81SHA256
42088f0e3e9c70b7d1d238f7e3b03a3ca177748ba2568adba9104bbed2827734SHA256
6d1ecc48069eae14a831af05d29d2d25c0fa9f7c62f1f51c44d0d70fb014a590SHA256
84d9ef8cb92d57b178cce655f3f7808c6f5cf42f15c468f741b253f37ffc39fcSHA256
bb382bbc0756832748b33f0d7f7ec218d570afa031937259e69237df4945d074SHA256
ca478cb334360bef31d394438cba1449dfe0b8d751cc8eb679f09e12e5068d1aSHA256
e9e80fd3fe71d133609f5bc75081b13123e4f9a5ed1920050727955185f3ce52SHA256
fe40e5c6244c7e0a256689b6ea0881998fef897cece79a2add3ba8f7a23f4f2bSHA256
8cb1e9c99ad716a2541697a6d4ada32433b56e11dfe6aa1cb7c4fbc72b4bad2e SHA256
c1e8c720da2297aa4432364441b341ec85e6f7f571cf6348ffdc51f4ae96418aSHA256
loki-locker[.]oneC2域名
194.226.139[.]3C2 IP
91.223.82[.]6C2 IP
Software\Loki\publicReg value
Software\Loki\fullReg value
Software\Loki\timerReg value
Software\Microsoft\CurrentVersion\Run\Michael GillespieReg value
%ProgramData%\winlogon.exeExecutable
%ProgramData%\config.Loki配置文件
<malware_path>\loki.txt配置文件
<malware_path>\logs.txt日志文件
Restore-My-Files.txtReadme文件
Info.LokiHTA文件
Cpriv.Loki数据文件
Loki/1.0User Agent
.Loki文件扩展名
.Adair文件扩展名
.Boresh文件扩展名
.Rainman文件扩展名
.Spyro文件扩展名

已知的附文件属名称

AbolSpyro

AdairFile

Ahmad_C4

Darwin

Fardinyps

Fuck3r_life

Helpmezeus

John

Kingbo

LokiBlack

Mindnear

Miracle

Miveh_sabzikosher

Roxlock

Shadow

ShreAzm0

Sirer

darkages

darkkiller

arkwave

ghost

h33shmat

hijack

jhnvjfygbjdhf

mjid4MB

mr_noobx

numbervpss

optimus982

pf9922

qazw

sidewinder

已知电子邮件地址

BlackSpyro[at]mailfence[.]com

BlackSpyro[at]tutanota[.]com

DecNow[at]MsgSafe[.]io

DecNow[at]TutaMail[.]Com

Decoder[at]firemail[.]cc

Decryptfiles[at]goat[.]si

Filemanager[at]mailfence[.]com

Helpingdecode[at]tutanota[.]com

Miiracle11[at]yandex[.]com

Miracle11[at]keemail[.]me

PayForDecrypting[at]gmail[.]com

PayForDecrypting[at]outlook[.]com

Rdpmanager[at]airmail[.]cc

RoxLock[at]keemail[.]me

RoxLock[at]mailfence[.]com

Shadow0[at]mailfence[.]com

Shadow11[at]mailfence[.]com

Skydancerf5[at]cock[.]li

Sapphire01[at]keemail[.]me

Sapphire02[at]mailfence[.]com

Unlockpls.dr01[at]protonmail[.]com

Unlockpls.dr01[at]yahoo[.]com

adairfile[at]mailfence[.]com

adairfile[at]tutanota[.]com

admindec[at]rape[.]lol

anoniran[at]protonmail[.]com

badlamadec[at]msgsafe[.]io

d4rkw4ve[at]tutanota[.]com

dark4wave[at]yandex[.]com

dark.killer[at]mailfence[.]com

darkkiller[at]cock[.]li

decryptyourfiles[at]firemail[.]cc

decsup[at]tuta[.]io

falcon9[at]cyberfear[.]com

filemanager[at]cock[.]li

jesushelp01[at]techmail[.]info

jesushelp02[at]mailfence[.]com

kingbo[at]tutanota[.]com

kingboo[at]mailfence[.]com

kingvps1[at]mailfence[.]com

kingvps[at]mailfence[.]com

lockirswsuppurt[at]mailfence[.]com

lockteam[at]cock[.]li

lockteam[at]keemail[.]me

loki.black[at]mailfence[.]com

loki.black[at]msgsafe[.]io

loki.help[at]bingzone[.]net

loki.help[at]mailfence[.]com

loki.support01[at]techmail[.]info

loki.support02[at]mailfence[.]com

loki01[at]keemail[.]me

loki02[at]mailfence[.]com

lordpdx[at]tutanota[.]com

mrcrypt2[at]mailfence[.]com

mrcrypt[at]msgsafe[.]io

mrrobot13[at]cock[.]li

pf2536[at]protonmail[.]com

pf2536[at]tutanota[.]com

puffcrypt[at]gmail[.]com

rain.man13[at]mailfence[.]com

rain_man13[at]keemail[.]me

skydancerf5[at]tutanota[.]com

tran9ino00[at]protonmail[.]com

wannayourdata[at]gmail[.]com

xmagic22[at]tutanota[.]com

xmaster22[at]tutanota[.]com

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注