赛门铁克安全响应部门最近发现勒索软件Sage 2.0(Ransom.Cry)通过垃圾邮件程序Trojan.Pandex进行传播。我们之前发现Sage 2.0曾通过垃圾邮件程序、银行木马和勒索软件等途径将JS下载器作为净负荷发送。我们最近还发现Sage 2.0的例程与勒索软件Cerber (Ransom.Cerber)具有相似之处,但我们却无法确定这两种软件之间的任何关系。
Sage 2.0由Crylocker (Ransom.Cry)演变而来,于2016年9月出现,且目前仍继续受到网络攻击者的使用。Sage之前是通过Rig漏洞利用工具包(EK)传播,但当前的主要传播途径是垃圾邮件。我们还发现Trik僵尸网络对Sage 2.0进行下载,Sage 2.0进而利用恶意软件Trojan.Wortrik感染计算机。
Sage 2.0作为色情垃圾邮件(如图1所示)的.ZIP附件进入受感染电脑。
图1.内含恶意附件的色情垃圾邮件示例
在执行.ZIP附件后,Sage 2.0使用Adobe PDF的图标伪装成一个.PDF文件,还使用了与上一版本不同的打包工具。
而且,Sage 2.0的一些新例程让我们想起了Cerber,比如可在其勒索信中提供了多语言支持。
图2.Sage 2.0最近的勒索信是一个支持多语言的.HTA文件
和Cerber一样,Sage 2.0的勒索信现在是可提供多语言支持的.HTA文件,而原来则是.HTML文件。为了更美观一些,Sage 2.0还在注册表中为.HTA和.SAGE文件新增了默认图标。.HTA 文件显示为钥匙图标且内含勒索信,而.SAGE 文件则显示为锁头图标且保存上锁文件。
图3.Sage为.HTA和 .SAGE文件新增了默认图标
Sage 2.0新变体释放.VBS脚本程序,这种脚本程序可使用SAPI SpVoice接口,向受影响用户通知其已遭到勒索软件感染。这种方式也和Cerber一样。新版本Sage还能够结束与数据库相关的进程,Cerber也是借此方法进一步感染文件,并运行数据库进程将这些文件上锁。
此外,Sage 2.0使用的进程列表与我们在老版本Cerber(特别是版本4) 中发现的进程列表完全相同。
图4.Cerber 4配置片段显示其与Sage 2.0使用相同的进程列表
Sage 2.0 之前的迭代程序显示出其开发明显不够完善。该程序若发现%Temp%\lol.txt文件,则将进行检查并终止其加密程序。该程序还将在其目录中把MY_QWemsadkjasd文件夹列入黑名单,该文件夹可用以进行开发。最新的Sage 2.0变体已删除了这些检查功能。
最新版本的Sage还具有更新的卷影删除程序,从而能与当前勒索软件进行更好的配合。旧代码只能执行vssadmin以删除卷影副本,而新版Sage 2.0还能够禁用安全启动选项和错误恢复。
我们还没有确凿证据证明Cerber背后的网络攻击者就是Sage 2.0背后的网络攻击者。这两种恶意软件没有使用相同的打包工具,但Sage 2.0 仿效了Cerber的一些例程。这种情况可能说明Sage 2.0准备加大感染力度,而之所以效仿Cerber则可能是因为Cerber在先前曾获取成功。
[click_to_tweet:1]
为了使用户免受勒索软件的影响,赛门铁克建议用户遵守以下最佳经验:
赛门铁克和诺顿产品检测本篇博文所述之威胁为: