首例具有中文提示的比特币勒索软件“LOCKY”

一、安天安全研究与应急处理中心（安天CERT）发现一款新的勒索软件家族，名为“Locky”，它通过RSA-2048和AES-128算法对100多种文件类型进行加密，同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现，这是一类利用垃圾邮件进行传播的勒索软件，是首例具有中文提示的比特币勒索软件。

2 样本分析

2.1 样本标签

1.1样本功能

该勒索软件“Locky”使用绑架用户数据的方法对用户进行敲诈勒索。它通过RSA-2048和AES-128算法对100多种文件类型进行加密，同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。

“Locky”样本的本地行为：复制自身到系统临时目录%Temp%下，并重新命名为svchost；对系统中的文件进行遍历，判断文件后缀名是否在样本内置的列表中，若存在，则对样本进行加密操作；在多个文件夹中创建提示文件_Locky_recover_instructions.txt；在桌面上创建文件_Locky_recover_instructions.bmp；并将该文件设置为桌面背景，提示用户如何操作可以成功恢复被加密的文件；添加相关注册表键值；删除系统还原快照。

• 复制自身到%Temp%目录下名为svchost.exe,并添加启动项。
• 加密上百种文件类型如下：

• 对路径和文件名中包含下列字符串的文件不进行加密：

• “Locky”添加的注册表项

HKCUSoftwareLocky

HKCUSoftwareLockyid

HKCUSoftwareLockypubkey

HKCUSoftwareLockypaytext

HKCUSoftwareLockycompleted

HKCUControl PanelDesktopWallpaper "%UserProfile%Desktop_Locky_recover_instructions.bmp"

• 删除系统还原快照

通过调用vssadmin.exe Delete Shadows /All /Quiet 删除全盘所有卷影副本，使受害系统不能够通过卷影副本进行系统还原。

• 网络行为：

l 向C&C服务器发送被感染机器的部分信息。

l 从C&C服务器下载RSA公钥，为后面的加密做准备。

l 上传将被加密的文件列表。

l 根据系统语言从服务器获取对应的提示信息。

1.2 相关技术

1.2.1 域名生成算法

“Locky”样本会首先使用函数rdtsc获取处理器时间，将该值与某变量进行求余运算，通过对该值的判断来决定样本是访问使用算法生成的域名，还是直接访问样本中的硬编码IP地址。这样可以使样本具有一定的随机性。

域名在生成的时候，需要使用一个随机数，该随机数的计算是根据被感染机器的年月日进行的。

2.3.2C&C服务器

受害主机与服务器是使用HTTP Post请求进行交互。受害主机访问C&C服务器上的main.php，参数有以下几个：

受害主机所有发出的请求都使用样本中硬编码的key进行加密操作，加密后发送到C&C服务器。从服务器中接收的数据包同样使用特定的加密方法加密，接收到加密数据后，“Locky”会首先进行解密操作。

加密的数据包部分内容：

数据包发送时加密的算法：

接收到数据时，样本的解密算法：

2.3.3 控制命令

目前所知道的控制命令有四种，分别为：stats、getkey、report、gettext。

中文的提示信息如下：

通过安天CERT目前的分析来看，勒索软件“Locky”的功能与之前分析的勒索软件^[1]的功能基本一致。勒索软件能给攻击者带来巨大的收益，因其使用比特币进行交易，所以很难追踪；一旦用户感染了勒索软件，只能付费进行解密或是丢弃这些文件。安天CERT提示广大用户，即使支付赎金也不一定能保证可以完全恢复被加密的文件。防止数据被加密，更应该注意勒索软件的防御，养成良好的上网使用习惯，不要轻易执行来历不明的文件。

“Locky”和其他勒索软件的目的一致，都是加密用户数据并向用户勒索金钱。与其他勒索软件不同的是，它是首例具有中文提示的比特币勒索软件，这预示着勒索软件作者针对的目标范围逐渐扩大，勒索软件将发展出更多的本地化版本。

安天CERT预测，今后中国将受到更多类似的勒索软件攻击。所以，如何防御勒索便成为保卫网络安全的重要任务之一。

附录：参考资料
[1] 揭开勒索软件的真面目
http://www.antiy.com/response/ransomware.html