勒索软件活动敦促抵制俄罗斯官员,Cyble 研究与情报实验室 (CRIL) 调查了一种名为 Wagner 的新勒索软件。该勒索软件是 Chaos 勒索软件的变种。在我们的分析过程中,我们发现该勒索软件释放的赎金票据不是索取金钱,而是敦促用户加入 PMC Wagner。
赎金信中还呼吁对绍伊古发动战争。谢尔盖·库朱格托维奇·绍伊古 (Sergei Kuzhugetovich Shoigu) 是俄罗斯著名政治家和军官,自 2012 年起担任俄罗斯国防部长。勒索信的内容与 WAGNER GROUP Telegram 频道的个人简介部分中发现的信息一致,如下所示。
图 2 – Wagner Group Telegram 频道
瓦格纳集团,正式名称为PMC瓦格纳,是俄罗斯的一个准军事组织。这是一家由雇佣兵组成的私人军事公司,被描述为俄罗斯总统弗拉基米尔·普京的前亲密盟友叶夫根尼·普里戈任事实上的私人军队。
最近,瓦格纳军事委员会在俄罗斯发动了一场短暂的兵变,暴露了与该国最高国防领导层日益加深的不和,并暴露了对俄罗斯总统弗拉基米尔·普京权威的潜在挑战。普里戈任的部队控制了一个重要的军事总部,并向莫斯科发起了“正义进军”。
瓦格纳组织尚未正式声明其参与了该勒索软件。因此,造成这种特殊菌株的个体仍然未知。然而,我们发现勒索软件样本最初是从俄罗斯在 VirusTotal 上提交的。由于勒索字条也是用俄语写的,这表明勒索软件可能主要针对俄罗斯境内的受害者。
Wagner 勒索软件 ( SHA256: 1238ab3dd3ed620536969ee438e99a33a418ba20f5e691962ed07904e075b2a4 ) 是一个针对 Windows 操作系统的 32 位二进制文件。
勒索软件在执行时会初始化指定其执行的不同变量。之后,它会执行初步检查,以确保只有一个勒索软件实例正在运行。它通过使用GetProcesses()方法检索所有正在运行的进程的列表,然后搜索与当前进程同名的进程来实现此目的。如果它发现这样的进程,它会自行终止以防止多个实例同时运行。
然后,勒索软件二进制文件检查“checkSleep”标志变量的值。如果此变量设置为 true,勒索软件将继续验证它是否是从 %APPDATA% 文件夹执行的。如果二进制文件是从不同位置执行的,它将在威胁参与者 (TA) 指定的时间内进入睡眠状态。
现在,勒索软件二进制文件尝试根据 TA 指定的标志变量实现持久性和权限升级。如果标志变量“checkAdminPrivilage”设置为 true,勒索软件二进制文件将尝试实现持久性和权限升级。为了确保持久性,它将在启动文件夹中将自身复制为“svchost.exe”。随后,它将终止当前实例并递归地尝试再次执行复制的文件,这次使用runas命令来获得提升的权限。
如果“checkAdminPrivilage”的值设置为 false,勒索软件会检查“checkCopyRoaming”变量的状态。如果为 true,勒索软件只会将其二进制文件添加到启动文件夹中以实现持久性。
勒索软件二进制文件包含一个额外的持久性机制,该机制依赖于“checkStartupFolder”变量的值。当设置为 true 时,勒索软件会在启动文件夹中创建一个快捷方式文件。该快捷方式文件配置为指向当前勒索软件可执行文件的位置。结果,当系统启动时,勒索软件就会自动执行。
此后,勒索软件使用DriveInfo.GetDrives()方法检索所有驱动器类型。它加密驱动器中的所有目录,并排除“C”驱动器中的某些目录。
链接联系方式下载一个驱动器保存的游戏收藏夹搜索次数视频C:UsersUsernameAppDataRoamingC:UsersPublicDocumentsC:UsersPublicPicturesC:UsersPublicMusicC:UsersPublicVideosC:UsersPublicDesktop
.txt .dib .xlsb .pot .mde.jar .dic .7z .xlw .mdf.dat .dif .cpp .xps .mdw.contact .divx .java .xsd .mht.settings .iso .jpe .xsf .mpv.doc .7zip .ini .xsl .msg.docx .ace .blob .kmz .myi.xls .arj .wps .accdr .nef.xlsx .bz2 .docm .stm .odc.ppt .cab .wav .accdt .geo.pptx .gzip .3gp .ppam .swift.odt .lzh .webm .pps .odm.jpg .tar .m4v .ppsm .odp.mka .jpeg .amv .1cd .oft.mhtml .xz .m4p .3ds .orf.oqy .mpeg .svg .3fr .pfx.png .torrent .ods .3g2 .p12.csv .mpg .bk .accda .pl.py .core .vdi .accdc .pls.sql .pdb .vmdk .accdw .safe.mdb .ico .onepkg .adp .tab.php .pas .accde .ai .vbs.asp .db .jsp .ai3 .xlk.aspx .wmv .json .ai4 .xlm.html .swf .gif .ai5 .xlt.htm .cer .log .ai6 .xltm.xml .bak .gz .ai7 .svgz.psd .backup .config .ai8 .slk.pdf .accdb .vb .arw .tar.gz.xla .bay .m1v .ascx .dmg.cub .p7c .sln .asm .ps.dae .exif .pst .asmx .psb.indd .vss .obj .avs .tif.cs .raw .xlam .bin .rss.mp3 .m4a .djvu .cfm .key.mp4 .wma .inc .dbx .vob.dwg .flv .cvs .dcm .epsp.zip .sie .dbf .dcr .dc3.rar .sum .tbi .pict .iff.mov .ibank .wpd .rgbe .onepkg.rtf .wallet .dot .dwt .onetoc2.bmp .css .dotx .f4v .dll.mkv .js .xltx .exr .lnk.avi .rb .pptm .kwm .scr.apk .crt .potx .max .exe.lnk .xlsm .potm .mda
Wagner 勒索软件会加密大小小于 2MB 的文件。对于大于 2MB 但小于 ~200MB 的文件,会生成一部分随机字节,长度等于文件大小的四分之一。然后,这些随机字节以 Base-64 格式编码并写入文件中。
如果文件大于大约 200MB,勒索软件会生成一组不同的随机字节。这些字节的大小介于 ~200MB 和 ~300MB 之间。与前面的场景一样,这些字节以 Base-64 格式存储在文件中。
该勒索软件采用 AES 算法来加密文件。对于每个文件,它都会生成一个随机密钥来执行加密。加密文件后,勒索软件二进制文件使用 RSA 算法对 AES 加密密钥进行加密。此加密密钥存储在“<EncryptedKey>”标签和 Base64 编码的 RSA 密钥之间的文件中。
瓦格纳勒索软件可以通过可移动媒体传播。它使用DriveInfo.GetDrives()方法获取系统上所有逻辑驱动器的详细信息。除“C”驱动器外,它将自身复制到名为“surprise.exe”的所有其他驱动器。
加密后,该勒索软件会通过附加“.Wagner”扩展名来重命名所有文件。下图是加密后的文件。
它会在其遍历的每个目录中放置名为“Wagner.txt”的勒索字条。这张勒索信是用俄语写的,表明它的目标是俄语用户。
现在,如果 checkdeleteShadowCopies、checkdisableRecoveryMode 和 checkdeleteBackupCatalog 标志变量的值设置为 True,勒索软件二进制文件将执行以下命令:
vssadmin delete shadows /all /quiet & wmic shadowcopy delete
此命令调用“vssadmin”工具来删除所有卷影副本。“/all”标志用于删除所有卷影副本,“/quiet”标志确保命令静默运行而不提示确认。
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
修改默认操作系统的启动状态策略为“ignoreallfailures”。它确保系统忽略启动过程中遇到的任何故障。
禁用默认操作系统的恢复功能。它将“recoveryenabled”参数设置为“no”,防止系统在出现系统故障时启动恢复过程。
wbadmin delete catalog -quiet
该命令执行“wbadmin”工具来删除备份目录。“/quiet”标志确保命令静默运行而不显示任何提示。
在勒索软件二进制文件中,有一个 Base64 格式的编码图像。勒索软件对该图像进行解码,并将其放置在%TEMP%文件夹中,并为其分配一个由9个字符组成的随机字符串名称,该名称可以是小写字母[az]和数字[0-9]的组合。随后,勒索软件将此解码后的图像设置为桌面背景,如下图所示。
瓦格纳集团尚未正式声称对这种勒索软件病毒负责。勒索信的内容与该组织在 Telegram 频道上发布的消息有显着的相似之处。
这表明勒索软件背后的个人可能出于政治动机并支持瓦格纳集团。该勒索软件的目的似乎是传播叛乱和煽动俄罗斯国防部长谢尔盖·绍伊古的信息。
IOC瓦格纳勒索软件
MD5:d26b2c8fc07cb5c72bfc40779f09d491SHA1:8ee7fc0171b980aa93b687e334d1e29a8d634085SHA256:1238ab3dd3ed620536969ee438e99a33a418ba20f5e691962ed079 04e075b2a4
原文始发于微信公众号(Ots安全):瓦格纳集团网络招聘揭晓“官方瓦格纳 PMC 就业病毒”。
