放假之前EvaRichter勒索病毒来袭

目前勒索病毒仍然是全球最大的威胁，最近一年针对企业的勒索病毒攻击越来越多，大部分勒索病毒是无法解密的，并且不断有新型的勒索病毒出现，各企业一定要保持高度的重视，马上放假了，一款新型勒索病毒来袭……
近日国外某独立恶意软件安全研究人员曝光了一个新型的勒索病毒，如下所示：

然后有人回复说是EvaRichter勒索病毒，并给出了id-ransomware博客地址，如下所示：

这款勒索病毒之所以勾起我的兴趣，主要是它与之前的GandCrab、Sodinokibi、GermanWiper、NEMTY等勒索有某些类似之处，都将桌面壁纸修改成蓝色了，笔者通过MD5在app.any.run上找到了相应的样本，如下：

样本被人在24号上传到了VT上，依据上传的时间判断可能就是国外那个独立恶意软件研究员上传的，从app.any.run上下载样本，图标使用了类似微信的图标，如下所示：

运行之后，加密的文件后缀为随机文件，如下所示：

勒索病毒会修改桌面壁纸为蓝色，如下所示：

勒索提示信息文本文件[加密后缀随机名]_how_to_decrypt.txt，内容如下所示：

访问勒索病毒解密网址，如下所示：

输入勒索提示信息中的Access Code码之后，如下所示：

黑客的BTC钱包地址：14Biqrf2fryuGNDrMDPchPCQeEjzZkqaLi，勒索赎金七天之内为：0.1521163 BTC，如下所示：

最近BTC降了一点，我们按今天BTC的市价来算，如下：

等于0.1521163 X 8405.59 = 1278美元(七天之内解密的价格)
此勒索病毒同样采用了高强度的代码混淆技术，简单的反调试技术，核心的勒索病毒代码被多层封装起来了，通过动态调试，解密出外壳的封装代码，如下所示：

继续跟踪调试，最后解密出核心的勒索病毒代码，如下所示：

解密出完整的勒索病毒核心是一个PE文件，采用Delphi语言进行编写，如下所示：

查看入口代码，如下所示：

使用IDA查看字符串信息，里面包含勒索相关信息，如下所示：

此勒索病毒最后还会删除磁盘卷影副本等操作，如下所示：

从勒索病毒的核心代码，我发现这款勒索病毒与之前我分析过的一款新型的勒索病毒GermanWiper创建的互斥变量一模一样，都是HSDFSD-HFSD-3241-91E7-ASDGSDGHH，GermanWiper勒索病毒的核心代码同样是使用Delphi语言编写的，于是我将两款勒索病毒的核心Payload代码进行对比，如下所示：

代码相似度也高达82%，所以我觉得这款勒索病毒应该是GermanWiper最新变种，国外安全研究人员又取了一个名字叫：EvaRichter勒索病毒，还是按国外安全研究人员的名字命名吧

自从GandCrab勒索病毒于今年6月1 号，宣布停止运营之后，虽然后面再也没有见到过GandCrab的最新版本出现，然后它的影子似乎一直都在，比如现在比较流行的Sodinokibi勒索病毒，国外很多报道直指Sodinokibi与GandCrab有千丝万缕的关系，前面我就说过GandCrab勒索病毒虽然结束了，背后的运营团队只是宣布停止GandCrab勒索病毒的运营，它会不会继续运营其他勒索病毒家族呢？也许只是GandCrab勒 索病毒的开发者不想开发了，它背后的运营团队会不会接着运营其它病毒呢？勒索病毒已经成为了黑产来钱最快的方式之一，大部分做黑产的不就是为了赚大钱吗？难怪会放弃这么好赚钱的机会？

GermanWiper勒索病毒上个月流行过一段时间，这款勒索病毒后面会不会大面积传播，需要持续的关注与跟踪，以前做黑产的都喜欢在放假的时候搞点事情，因为对于做黑产是没有休息日，而且越是放假，越容易搞一些活动，捆绑一些木马让用户主动下载，做黑产的为了搞钱，每天都在寻找不同的攻击目标，通过各种漏洞+恶意软件对目标进行攻击，获取暴利
本文转自：安全分析与研究

可恶的 勒索病毒