当勒索病毒“不图财”时会图什么？

PewCrypt勒索者分析报告

概述

众所周知，勒索病毒通过加密受害人电脑里的重要文件来进行勒索，通常要求受害人支付比特币才能解锁文件，最近国外出现一款新型的勒索病毒PewCrypt (由于加密后缀为PewCrypt所以我们命名其为PewCrypt勒索者)，当受害人感染该病毒后，并不要求受害者支付金钱或比特币而是要求受害人订阅YouTube网站上的一个频道PewDiePie，当该频道订阅量达到一亿后作者才会公布解密工具，但是当另外一个频道T-Series的订阅量超过PewDiePie时，该勒索软件作者将不会公布相关解密工具。

根据查询发现，PewDiePie和T-Series两个频道在争夺YouTube网站第一订阅量的位置，可能是某些人为了获取更多的订阅量而编写并传播了该勒索病毒。截至发稿前PewDiePie频道的订阅量为87220671 ，T-Series频道的订阅量为87087817 。

PewDiePie频道于2010年4月29日注册，位置显示位于美国，是一个制作搞笑、搞怪、创意视频的视频频道，截至目前共有3760个视频。

T-Series频道于2006年3月13日注册，位置显示位于印度，是一个制作与印度相关的创意音乐视频的视频频道，截至目前共有13154个视频。

样本分析

PewCrypt勒索者是一款用Java语言编写的勒索病毒软件，运行后会使用AES+RSA算法对文件进行加密，截止目前无法对加密后的文件进行解密。

病毒加密流程如下：

首先获取指定目录下所有文件的路径，指定加密目录如下：

然后遍历并保存指定加密目录下所有文件的路径。

生成32字节的随机数并转化为256位的AES密钥，指定使用的加密算法为AES/ECB/PKCS5Padding。

在获取遍历所获得的文件路径后，对文件后缀进行判断，如果后缀为.PewCrypt, .exe, .jar,.dll则不进行加密，其他类型的文件均会被加密。加密前会判断文件是否存在，文件是否可读可写，文件大小是否小于19M，如果是就开始进行加密，使用上面生成的256位AES密钥进行加密，加密后覆盖原文件并加上后缀.PewCrypt。

使用RSA加密算法对前面用于加密文件的256位AES密钥进行加密。

加密后的密钥内容保存到病毒所在目录并命名为AES.key。

勒索提示窗口会不断对YouTube网站进行访问获取最新的PewDiePie频道和T-Series频道的订阅量并显示出来。

最后显示一个窗口提示：你的文件已经被加密，需要去YouTube上订阅频道PewDiePie，频道订阅量达到一亿后作者才会发布解密工具，但如果另外一个频道T-Series的订阅量超过了PewDiePie频道，作者将永远不会公布解密工具。

查杀与防御

目前360天擎、360安全卫士均能查杀此类勒索病毒。

防护建议：

1.不要随意下载和运行不信任的软件，避免打开恶意软件。

2.在设置电脑密码时应使用相对复杂的密码，防止黑客通过弱口令进行渗透和传播病毒。

3.安装必要的安全软件进行防护。

IOC

MD5

PewCrypt.exe：903f9076aadc67938aed2929cc051d53

（分析报告由360企业安全-安全能力中心提供）

更多资讯详见：360社区早报（2019-2-27）