CryLock勒索病毒样本分析

相关阅读：
CryLock勒索病毒家族详情
Trigona勒索软件家族详情

一、概述
  Crylock勒索病毒前身为Cryakl，通过多种渠道进行传播。此次获取的Crylock样本从后台数据来看是通过MsSQL爆破方式进行的投放。该样本使用Delphi语言编译，加密时使用的加密库为TDCP_rijndael和FGIntRSA，分别用于AES对称加密和RSA公钥加密。
CryLock支持多个命令行选项：
CryLock.exe [-nolocal] [-nolan] [-p path] [-s nBytes] [-id userID] [-wid WID]

• -nolocal：不加密本地磁盘
• -nolan：不加密网络资源
• -p：指定加密路径，忽略-nolocal/-nolan，可能是作为调试使用
• -s：指定每个文件最大加密字节数，不超过50000字节（48.8KB），默认50000
• -id：指定用户ID
• -wid：常量字符串，作为文件尾部和后缀一部分
  

二、代码分析
1.        日志记录
  在%TEMP%目录下，CryLock为每个根目录或是-p指定参数对应的路径创建log文件，记录被加密的文件路径，文件名格式为<path>-<程序启动时UNIX时间戳>.log，例如：E-1625247545.log。
  除此之外，还会创建以系统磁盘序列号十进制整数字符串命名的文件，向其中写入生成的用户ID，格式为：<系统磁盘序列号整数值>-<UNIX时间戳整数值>。程序执行时检测该文件是否存在，如果存在则使用其内容作为ID，否则进行创建。

2.        自启动&获取管理员执行权限
  如果程序位于%TEMP%目录下或是%TEMP%目录下已存在同名文件，则为自身创建自启动键值HKCU\software\microsoft\windows\currentversion\run\<系统盘序列号整数值>；否则生成三个随机小写字母，复制自身为%TEMP%\svc<3个随机小写字母>.exe。启动%TEMP%下程序后结束自身并删除当前执行目录下对应的自身文件。

  若当前进程令牌和Administrator组有关联，则尝试创建自启动键值HKLM\software\microsoft\windows\currentversion\run\<RandomInt>。如果成功，说明当前进程已具备管理员级别执行权限。如果创建失败，则以runas方式重启当前进程，以获取管理员权限。此时会弹出UAC弹窗，需要用户确认才可正常执行，如果用户选择取消，程序将每隔2s尝试一次，用户在这种情况下可使用资源管理器关闭相应进程。

3.        备份文件清除
  如果-p参数未传入，CryLock将清除可能的备份文件，包括每个磁盘下的回收站以及卷影等备份。

4.        搜索文件进行加密
CryLock对本地磁盘和网络资源进行枚举和加密。在搜索本地磁盘中可加密文件时，会先从非系统盘开始，最后加密系统盘中符合条件的文件，桌面目录只搜索一层。
搜索时将避过以下后缀的文件：

• bat
• bmp
• log
• ini
• dll
• sys
  

避过含有以下字符串的目录路径：

• recycle
• %windir%
• %temp%
• windows
  

该样本还具有指定加密文件后缀的功能，但配置中并未指定，因此默认除避过目标外全部加密。

5.        文件加密方式
CryLock加密组合使用RSA+AES，AES密钥用于加密文件内容，RSA公钥内置于程序中，用于加密AES密钥。AES密钥结合随机算法和摘要算法生成，最终得到32字节的随机数摘要值，作为密钥。

生成的AES密钥使用内置的RSA公钥进行加密，加密库为FGInt RSA。加密前，AES密钥前接字符串”asshole”，以此在解密文件时验证解出的密钥是否正确。

对文件进行AES对称加密时。加密数据大小”nBytes”由-s参数进行指定，但不允许超过50000字节（约48.8KB）。如果文件尺寸小于指定值，则该文件被加密数据大小nNumberOfBytesToRead修改为nBytes/2。

加密数据写回原文件首部后，在文件尾部添加以下数据：
{ENCRYPTSTART}\
{AES密钥经RSA加密后的数据长度十进制值，此样本为550}\
{AES密钥经RSA加密后的数据，此样本为550字节}\
{wid参数指定值}\
{用户ID}\
{CS 1.8.0.0}\
{AES密钥MD5摘要值16进制串}\
{内置RSA公钥前20字节}\
{编码后的文件名，编码方式为：''.join([str(ord(c)).zfill(6) for c in filename])}\
{被加密数据的第1字节和最后一个字节，共2字节}\
{5字节随机值}\
{该文件被加密数据长度}\
{机器上受害用户名编码}\
{ENCRYPTENDED}
其中用户名编码方式为：
t = ‘abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789’
o = ''
for c in var_username:
    o += t[ord(c)/62] + t[ord(c)%62]
print o
尾部的{ENCRYPTENDED}可作为文件被加密过的标志，搜索文件时检测到即跳过。
最后，重命名文件，在文件名尾部添加后缀：
（1）        有wid参数：[grand@horsefucker.org][<用户ID>][WID].<3字节随机小写字母>
（2）        无wid参数：[grand@horsefucker.org][<用户ID>].<3字节随机小写字母>
以加密数据为50000字节的情况为例，文件加密流程和加密后文件格式如下图：

6.        自我删除（未开启）
CryLock还具有关机、自我删除的功能，但是配置中并未开启。

三、        勒索信息
CryLock在每个被加密目录下创建勒索信息提示文件how_to_decrypt.hta，并在注册表中为其设置自启动项。所有文件加密完成后打开，以提醒用户。

1. <div>What happened?
   
2. </div><div>All your documents, databases, backups and other important files have been encrypted due to a security problem with your PC. The only way to recover files is to purchase a unique private decryption key. If you want to recover files, write to us by e-mail: grand@horsefucker.org with the following details:
   
3. </div><div>External IP
   
4. </div><div>You unique ID [xxxxxxxxxx-xxxxxxxxxx] [copy]
   
5. </div><div>The price depends on how fast you write to us, on timers you can see how many time do you have before price increasing. After payment we will send you the tool that will decrypt all your files. In case of no answer in 24 hours write us to this e-mail: horsefucker@tuta.io [copy]
   
6. </div><div>
   
7. </div><div>Any guarantees?
   
8. </div><div>Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 5Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
   
9. </div><div>
   
10. </div><div>Attention!
    
11. </div><div>
    
12. </div><div>Do not try to decrypt your data using third party software, it may cause permanent data loss.
    
13. </div><div>Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
    
14. </div><div>Use trusted email clients (gmail.com, protonmail.com, aol.com, etc.) for communication; sometimes your letters do not reach us from corporate letters.
    
15. </div><div>Communication with us lasts 2-4 weeks, then we block mail for communication
    
16. </div>

复制代码

中crylock勒索病毒了，如何修复？

中了greenoffer1这个后缀病毒现在目前有解决方法吗@ao.com

是不是暂时还无解？