近日,亚信安全监测到Royal 勒索软件异常活跃,对医疗系统似乎格外“偏爱”的同时,持续通过第三方网站、垃圾邮件附件、恶意广告、后门程序以及虚假安装程序等方式传播,给受害者带来金钱和声誉上的双重损失。
Royal 勒索软件最早于 2022 年 9 月首次被发现,其经历了多次迭代更新。有研究人员发现,Royal 勒索软件最初使用的是其他勒索家族(如 BlackCat)的加密器,但他们很快转向使用自己的加密器,其中,Zeon是该组织使用自己的加密器生成的第一个勒索家族,该家族的勒索信与Conti 勒索家族类似。Royal 勒索软件家族会在伪装成合法的下载网站以及 GitHub 和 OneDrive 等合法网站上托管虚假安装程序文件,并将恶意广告通过推广服务有效融入正常的广告流量,诱导受害者下载运行。
Royal 勒索软件通过伪装成合法的应用程序,诱导受害者下载运行它,作为勒索软件传播的接入点。该勒索软件程序支持命令行参数,”-path”参数用于加密指定目录下的文件,”-id”参数用于标识用户计算机,但无论是否提供了任何一个参数,都会删除卷影副本防止受害者恢复备份。在加密过程中,该勒索使用了 OpenSSL 库,通过 BCryptGenRandom 函数生成随机密钥,并混合使用了AES 和 RSA 算法,使用 AES 算法对文件数据进行加密,并将加密后的数据写入文件中,然后使用 RSA 公钥对随机生成的加密密钥进行加密,并在加密文件尾部写入被加密过的密钥,最后在文件夹中留下勒索信息说明文件。
亚信安全传统病毒码版本17.895.60,云病毒码版本17.895.71,全球码版本17.895.00,已经可以检测,请用户及时升级病毒码版本;
亚信安全 OSCE 恶意行为监控可有效拦截该样本的恶意行为。
亚信安全DDAN沙盒平台可以有效检测出该家族勒索样本的行为。
首先,勒索软件会检查自身程序是否正在被调试,若检测到程序正在被调试则终止进程:
该勒索通过命令行启动,需要传递两个参数来启动加密进程。”-path”参数指定加密的内容(单个目录或者整个驱动器),”-id”由随机的32 个字符的字符串组成,用于标识用户计算机:
无论是否提供了上述参数中的任何一个参数,该勒索都会进行删除卷影副本的操作:
文件目录过滤,设置不加密文件及后缀白名单,在加密文件时会通过过滤器将不需要加密的内容排除在外:
该勒索使用了 OpenSSL 库提供加密算法对文件进行加密:
提供PROV_RSA_AES类型加密密钥,用于对数据进行加密操作:
通过调用CryptAcquireContextW得到密钥容器句柄, 并在以后函数调用中通过密钥容器句柄来使用CSP提供各种密码运算:
通过调用CryptExportKey从加密服务 (CSP) 导出加密密钥或密钥对:
检索表示当前可用磁盘驱动器的位掩码(0 是驱动器 A,1 是驱动器 B,2 是驱动器 C,依此类推):
与网络资源建立连接,将本地设备重定向到网络资源,枚举网络资源,对共享目录上的文件进行加密:
将随机生成的加密密钥通过RSA算法加密后,置于文件末尾,完成文件加密:
该勒索家族之前的其他变种中还存在如下加密后缀类型:
原文始发于微信公众号(亚信安全):威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
