曲速未来 消息：警惕 Locky Poser，PyLocky Ransomware

区块链安全咨询公司曲速未来 表示：虽然勒索软件在今天的威胁形势中明显受到限制，但它仍然是网络犯罪的主要内容。事实上，它在2018年上半年的活动略有增加，通过微调以逃避安全解决方案保持同步，模仿已建立的勒索软件系列并驾驭他们的恶名。

在7月下旬和整个8月，观察到垃圾邮件的浪潮传递了PyLocky勒索软件。尽管它在赎金票据中试图以洛克为借口，但PyLocky与洛克无关。PyLocky是用Python编写的，Python是一种流行的脚本语言;并与PyInstaller一起打包，PyInstaller是一个用于将基于Python的程序打包为独立可执行文件的工具。

用Python编写的勒索是不是新的-已经看到CryPy（RANSOM_CRYPY.A）在2016年，和Pyl33t在2017年（RANSOM_CRYPPYT.A）-但PyLocky设有抗机器学习能力，这使得它显着。通过结合使用Inno Setup Installer（一个基于开源脚本的安装程序）和PyInstaller，它对静态分析方法提出了挑战，包括基于机器学习的解决方案-也已经看到了Cerber do的变种（虽然使用了Cerber） NullSoft安装程序）。

PyLocky的发行似乎也很集中;可以看到了几个针对欧洲国家的垃圾邮件，特别是法国。虽然垃圾邮件的运行起步很小，但它的数量和范围最终都会增加。

图1：与8月2日（左）和8月24日（右）相关的PyLocky相关垃圾邮件的分布

图2：PyLocky的赎金票据假装是Locky勒索软件

感染链

8月2日，将检测到垃圾邮件运行将PyLocky分发给法国企业，并通过社交工程主题（例如与发票相关的主题）吸引他们。该电子邮件诱使用户单击链接，该链接将用户重定向到包含PyLocky的恶意URL。

​

图3：带有主题行的垃圾邮件，“Nousavonsreçupotrerepaiement”，表示“我们已收到您的付款”

恶意URL会导致ZIP文件（Facture_23100.31.07.2018.zip）包含已签名的可执行文件（Facture_23100.31.07.2018.exe）。成功运行后，Facture_23100.31.07.2018.exe将删除恶意软件组件-几个C++和Python库以及Python 2.7 Core动态链接库（DLL）-以及主要勒索软件可执行文件（lockyfud.exe，它是通过PyInstaller）在C：\Users\{user}\AppData\Local\Temp\is-{random}.tmp中。

​

图4：ZIP文件

图5. PyLocky相关恶意软件组件的数字签名信息

PyLocky包括图像，视频，文档，声音，程序，游戏，数据库和存档文件等。这是PyLocky加密的文件类型列表：

图6：显示PyLocky查询系统属性的代码片段

图7.配置为休眠一段时间以逃避传统的沙箱解决方案

加密例程

PyLocky配置为加密硬编码的文件扩展名列表，如图4图5所示.PyLocky还滥用Windows Management Instrumentation（WMI）来检查受影响系统的属性。如果受影响的系统的总可见内存大小小于4GB，PyLocky的防沙箱功能将会休眠999.999秒-或者仅超过11.5天。如果文件加密例程大于或等于4GB，则执行该例程。

加密后，PyLocky将与其命令和控制（C＆C）服务器建立通信。PyLocky使用PyCrypto库实现其加密例程 - 使用3DES（Triple DES）密码。PyLocky遍历每个逻辑驱动器，首先在调用'efile'方法之前生成文件列表，该方法用加密版本覆盖每个文件，然后丢弃赎金票据。

PyLocky的赎金票据是英语，法语，韩语和意大利语，这可能表明它也可能针对讲韩语和意大利语的用户。它还通过POST将受影响的系统信息发送到C＆C服务器。

图8：显示PyLocky的C＆C通信

图9.加密例程（底部）的代码片段

图10：PyLocky用不同语言的赎金票据

缓解方案

区块链安全咨询公司曲速未来 表示：机器学习是检测独特恶意软件的有价值的网络安全工具，但它不是一个灵丹妙药。在今天的威胁下，攻击者可以使用不同的向量，这使得多层次的安全方法变得非常重要。应用最佳实践：定期备份文件，保持系统更新，确保系统组件的使用，并培养网络安全意识文化。

本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司编译，转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。