1 惡意代碼概況

近期江民赤豹網(wǎng)絡(luò)安全實(shí)驗(yàn)室跟蹤捕獲一款名為“Syrk”的開(kāi)源勒索軟件，該勒索軟件針對(duì)《堡壘之夜》游戲玩家，通過(guò)偽裝成自動(dòng)瞄準(zhǔn)的外掛程序誘導(dǎo)游戲玩家下載安裝，最終加密受害者的磁盤(pán)文件實(shí)現(xiàn)勒索目的，由于該游戲玩家眾多，因此受到該勒索軟件的影響范圍較大，江民網(wǎng)絡(luò)安全實(shí)驗(yàn)室第一時(shí)間對(duì)捕獲的樣本進(jìn)行了詳細(xì)分析，發(fā)現(xiàn)該勒索軟件具有較大缺陷，因此可以在不繳納贖金的情況下進(jìn)行解密，江民赤豹網(wǎng)絡(luò)安全實(shí)驗(yàn)室提醒廣大游戲用戶(hù)謹(jǐn)慎使用游戲輔助工具，安裝防病毒軟件并保持更新病毒庫(kù)的習(xí)慣，防止遭受惡意代碼的攻擊。

2 惡意代碼信息

名稱(chēng)：Syrk勒索軟件

類(lèi)型：勒索軟件

MD5：da6b7ddd28dc387bcd10b180c9bdff58

SHA1：c29cd8c4370576afb63deea020bcafd8c0638de0

文件類(lèi)型：Win32 EXE

文件大小：12849152 bytes

傳播途徑：偽裝正常文件下載傳播、USB感染傳播

影響系統(tǒng)：Win7，Win8，Win10
 

3 惡意代碼危害

《堡壘之夜》是一款在國(guó)內(nèi)外十分受歡迎的射擊類(lèi)游戲，該系列游戲已有超過(guò)2.5億的注冊(cè)玩家數(shù)量，該游戲在國(guó)內(nèi)由騰訊代理，其熱度幾乎能與《絕地求生》游戲相媲美。

“Syrk”勒索病毒主要通過(guò)AES加密算法加密用戶(hù)特定類(lèi)型的文件，偽裝游戲外掛誘導(dǎo)下載執(zhí)行，“Syrk”還會(huì)嘗試感染USB驅(qū)動(dòng)器擴(kuò)大傳播。“Syrk”會(huì)修改系統(tǒng)注冊(cè)表，釋放的cry.ps1腳本，加密過(guò)程中使用標(biāo)準(zhǔn)AES算法對(duì)指定類(lèi)型的文件進(jìn)行加密，加密密鑰使用硬編碼寫(xiě)在powershell文件中，加密文件會(huì)添加后綴.Syrk；主程序中還會(huì)監(jiān)視用戶(hù)是否啟動(dòng)了Taskmgr、Procmon64、ProcessHacker三個(gè)進(jìn)程，阻止用戶(hù)啟動(dòng)相關(guān)的進(jìn)程管理工具檢查并結(jié)束勒索軟件進(jìn)程。

Syrk每?jī)蓚€(gè)小時(shí)刪除一次文件來(lái)誘騙用戶(hù)盡快支付贖金，啟動(dòng)釋放的文件之后，主程序直接彈出勒索提示，要求用戶(hù)在2個(gè)小時(shí)之內(nèi)聯(lián)系panda831@protomail.com進(jìn)行付費(fèi)解密操作。

 

4 應(yīng)對(duì)措施及建議

1）不從互聯(lián)網(wǎng)下載可疑的程序執(zhí)行；

2）使用USB設(shè)備前檢查拷貝的文件是否正常；
 

5 文件解密方法

研究人員發(fā)現(xiàn)，此勒索樣本存在較多缺陷，通過(guò)簡(jiǎn)單操作可以進(jìn)行解密，無(wú)需交付贖金，解密方法如下：

方法一：

由于此樣本僅僅使用了AES對(duì)稱(chēng)加密算法進(jìn)行加密，且密鑰直接以明文方式硬編碼在powershell腳本中，且解密腳本也嵌入在資源節(jié)中，因此最簡(jiǎn)單的方式就是直接將資源中的解密工具復(fù)制出來(lái)雙擊即可解密；

 

 

 

方法二：

由于惡意代碼在編寫(xiě)過(guò)程中的缺陷導(dǎo)致所要求的密碼也存放在了本地，可以通過(guò)C:\Users\Default\AppData\Local\Microsoft\-pw+.txt找到密碼實(shí)現(xiàn)解密，輸入密碼后即可正常實(shí)現(xiàn)文件解密過(guò)程；

 

 

 

詳細(xì)分析報(bào)告請(qǐng)?jiān)L問(wèn):

http://www.myweblink.cn/download/Syrk.pdf