【51CTO.com快譯】自2016年下半年開(kāi)始，利用希特勒照片來(lái)要求現(xiàn)金代碼(Cash Code)的勒索軟件開(kāi)始出現(xiàn)，攻擊者利用希特勒的惡名來(lái)刺激被感染用戶的心理，但經(jīng)過(guò)對(duì)該惡意代碼的研究發(fā)現(xiàn)，該惡意代碼尚處于開(kāi)發(fā)初期階段，目前發(fā)現(xiàn)的受害案件數(shù)量暫時(shí)不多，但據(jù)預(yù)測(cè)該勒索軟件有可能如其他勒索軟件一般進(jìn)化升級(jí)并擴(kuò)大其影響力和破壞力，因此明確掌握其惡意代碼特征與預(yù)防方法是極有必要的。

惡性文件分析

◆流程圖

希特勒勒索軟件首先散布ExtraTools.exe文件，執(zhí)行時(shí)又會(huì)生成其他惡性文件并執(zhí)行。

??

希特勒惡意代碼的安裝流程圖

◆詳細(xì)分析

- ExtraTools.exe文件分析

ExtraTools.exe包含4個(gè)文件，執(zhí)行時(shí)它被放到temp文件夾中，執(zhí)行bat文件后，其他放入的文件會(huì)按順序執(zhí)行。

??

在temp文件夾中放入文件

- ExtraTools.bat文件分析

觀察其內(nèi)部的腳本就會(huì)發(fā)現(xiàn)如下的多種行為。

??

bat文件的內(nèi)部腳本

簡(jiǎn)單整理可以總結(jié)為如下4種行為：

① 執(zhí)行ErOne.vbs文件，雖會(huì)出現(xiàn)Error信息，但沒(méi)有其他特別的行為;

② 將firefox32.exe文件復(fù)制到Startup文件夾，在Windows系統(tǒng)開(kāi)始時(shí)實(shí)行;

③ 執(zhí)行chrst.exe文件并彈出希特勒警告窗口;

④ 將特定文件夾的所有文件的擴(kuò)展名刪除。

- chrst.exe文件分析

該文件負(fù)責(zé)UI(用戶界面)，即彈出警告窗告知用戶所有的文件都被加密，若想復(fù)原文件，必須在1小時(shí)以內(nèi)購(gòu)買(mǎi)Vodafone卡并交出現(xiàn)金代碼(Cash Code)，并且會(huì)同時(shí)監(jiān)視其他程序，如以下程序被執(zhí)行則會(huì)立刻使其終止。

??

如超過(guò)了限制時(shí)間，則會(huì)找到csrss進(jìn)程并強(qiáng)制結(jié)束。因?yàn)閏srss負(fù)責(zé)大部分Win32控制臺(tái)和GUI(圖形用戶界面)，所以該進(jìn)程被強(qiáng)制結(jié)束便意味著PC非正常性的強(qiáng)制終止。

??

利用csrss進(jìn)程非正常終止PC運(yùn)行

- firefox32.exe文件分析

據(jù)推測(cè)，該文件是為了刪除自身的痕跡制作而成，運(yùn)行時(shí)，temp文件夾中被放入bat文件并執(zhí)行。

[圖6]temp文件夾內(nèi)放入bat文件

觀察bat文件的話會(huì)發(fā)現(xiàn)，%userprofile%(用戶文件夾)下面的所有文件都已被刪除。

??

bat文件的內(nèi)部腳本

1小時(shí)內(nèi)如果不發(fā)送現(xiàn)金代碼的話，%userprofile%內(nèi)的全部文件將會(huì)在計(jì)算機(jī)強(qiáng)制再啟動(dòng)的過(guò)程中被全部刪除。

◆采取措施

如果用戶感染了該勒索軟件并在PC上彈出了希特勒警告窗口，用戶需要在PC強(qiáng)制被終止后進(jìn)入安全模式。為了阻止firefox.exe文件的啟動(dòng)，用戶需要?jiǎng)h除自動(dòng)啟動(dòng)注冊(cè)表項(xiàng)目和該文件，這樣做可以防止%userprofile%內(nèi)文件的損失。

結(jié)論

分析希特勒勒索軟件可以發(fā)現(xiàn)該勒索軟件的一些破綻，首先雖然它向用戶彈出文件被加密的信息，但其實(shí)文件只是被刪除掉擴(kuò)展名而非真正的加密;其次根據(jù)環(huán)境的不同，彈出警告窗口有可能尺寸不合適而無(wú)法正常顯示;再次，Vodafone的現(xiàn)金代碼也只有一些特定的國(guó)家才可以實(shí)現(xiàn)該支付手段。

但是如果確認(rèn)bat文件內(nèi)的腳本會(huì)發(fā)現(xiàn)攻擊者標(biāo)注了‘Das ist ein Test …..’(This is a Test)的字樣，表示這只是一個(gè)測(cè)試版本，未來(lái)有可能會(huì)升級(jí)并再次出現(xiàn)。通過(guò)軟件升級(jí)再次出現(xiàn)的事例也有很多，如Cerber和Locky等，因此今后需要密切關(guān)注勒索軟件希特勒的動(dòng)向并引起警惕。

【原標(biāo)題】[???? ?????] "???" ????(作者：??)

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】