AKO勒索病毒样本分析

相关阅读：AKO勒索病毒家族详情
一、样本信息
文件名：Ako.exe
MD5：06d8c3f9d99d930c1c2f9fafc8cdf4a9
SHA1：4c9177a8ce129e74f3cbaccb870dcf3a1cb0af8e
二、代码分析
AKO开始执行后，创建互斥体{5FD4B114-4455-41ED-8056-068A627F0191}，以保证程序的单例执行。

后续继续进行勒索病毒常见的操作。
1.关闭指定进程&服务
Ako通过关闭指定进程和服务的方式解除文件占用，以免由于访问冲突导致文件加密失败，并且关闭部分Hyper-V集成服务可以影响虚拟机的监测和控制等功能的运行，以保证彻底完成系统中数据的加密。
关闭的目标进程主要包括Office办公工具、数据库、作图等相关进程：
winword.exe
visio.exe
encsvc.exe
mysqld_opt.exe
ocssd.exe
thebat.exe
ocomm.exe
outlook.exe
onenote.exe
sqlwriter.exe
msaccess.exe
mysqld.exe
sqlagent.exe
sqlservr.exe
infopath.exe
sqlbrowser.exe
thunderbird.exe
msftesql.exe
wordpad.exe
synctime.exe
agntsvc.exe
dbsnmp.exe
mydesktopservice.exe
ocautoupds.exe
thebat64.exe
sqbcoreservice.exe
isqlplussvc.exe
oracle.exe
tbirdconfig.exe
mysqld_nt.exe
目标服务主要包括Hyper-V 集成，数据库，反病毒等相关服务。Ako首先会关闭依赖于目标服务的其他服务，之后才是目标服务：
vmickvpexchange
vmicguestinterface
vmicshutdown
vmicheartbeat
MSSQLFDLauncher
MSSQLSERVER
SQLBrowser
SQLSERVERAGENT
SQLWriter
MSSQL
WRSVC
ekrn
2.删除卷影&禁用修复
通过执行命令，删除卷影备份，禁用开机自动修复，防止文件被加密后管理员通过备份恢复数据，接着清空所有回收站。以上行为重复三次。
3.搜索文件进行加密
Ako通过修改注册表键开启共享文件夹（该操作需要重启系统生效）。

记录本地可访问的磁盘、网络磁盘，以便于后续加密。另外Ako还获取本地缓存的IP列表，检测活动IP地址，进行记录。

搜索过程中，不加密以下文件夹。主要是系统运行、用户数据、应用程序、浏览器等相关目录，避免因加密其中文件导致用户无法支付赎金：
AppData
boot
PerfLogs
ProgramData
Google
Intel
Microsoft
Application Data
Tor Browser
Windows
对于文件，以下类型文件不被加密。<Random_Ext>是随机生成字符串，作为被加密文件的新扩展名；.key扩展名文件由Ako创建，存放加密后的文件加密密钥、被加密文件扩展名等信息。
exe
dll
sys
ini
key
<Random_Ext>
非以上类型的其余文件，将再次根据扩展名或文件大小区分为全部加密文件以及部分加密文件。
如果文件大小大于500MB，或是以下类型的文件，该文件将被全部加密。主要都是重要的数据库数据存储文件、备份文件、ppt文件、压缩包以及镜像文件等。
.arm,.acr,.arz,.bck,.bak,.cnf,.dbs,.ddl,.frm,.ibd,.ism,.mrg,.mdf,.mds,.frm,.myd,.myi,.mysql,.opt,.phl,.sal,.sqr,.tmd,.ibz,.ibc,.pptx,.pptm,.ppt,.potx,.potm,.qbquery,.rul,.qbw,.qbmb,.qbb,.qbm,.qbo,.des,.qbr,.qwc,.qbx,.qba,.qby,.qbj,.tlg,.xlc,.zip,.rar,.ldf,.avhd,.vhd,.vsv,.vmrs,.vmcx,.vhdx,.iso

其余所有可加密文件只加密文件前16MB数据，即每个文件可能只加密其中一部分数据，以缩短加密阶段消耗的时间。

4.文件加密方式
文件加密采用对称加密算法AES-256。全部加密和部分加密采取两种方案：
（1）全部加密：每次读取待加密文件的16MB到内存，再从该16MB内容中依次取8KB数据进行加密，直至加密完16MB，写回原文件原偏移；接着从文件中读取下一16MB片段到内存，重复上述操作，直至全部加密。
（2）部分加密：与全部加密方式相似，但是只读取一次16MB片段，即只加密首部16MB内容，文件大小低于16MB意味着被全部加密。
因为每次按照2KB大小缓冲区（不足该大小则填充0）进行加密，所以加密数据结果按照2KB对齐。

最终是尾部的填充，总共272字节，包含文件加密密钥Key和原文件大小、加密方式、加密标志等数据。

首先是文件加密密钥，Ako先将内置的RSA-2048公钥进行Base64解码，导入CSP容器。之后对生成的AES-256 Blob进行加密，加密结果256字节。

接着是最终的16字节，如下：
+0x00：文件大小
+0x08：文件加密方式代码（1：部分加密；2：全部加密）
+0x0C：” \xCE\xCA\xEF\xBE”，加密完成后文件标志，加密前检测到该标志则跳过加密

待加密文件完全被加密完成后，Ako为该文件添加扩展名.<Random_Ext>。<Random_Ext>是通过随机算法生成的6字节随机字符，之后会将该值记录于注册表键HKEY_CURRENT_USER\Software\acfg\aid下。
Ako如果再次执行时检测到该键值的存在，将使用该扩展名处理文件，不再生成新随机字符。

以部分加密方式作为示例，文件加密流程以及文件加密后结构如下图：

5.勒索信息&key文件
Ako勒索病毒在每个加密目录下都会释放两个文件：
1）do_not_remove_ako.<Random_Ext>_id.key；
2）ako-readme.txt。
文件do_not_remove_ako.<Random_Ext>_id.key中存放经RSA公钥加密、Base64编码后的文件加密密钥Key，以及随机扩展名<Random_Ext>。

ako-readme.txt是勒索信息提示文件，每个被加密用户持有的该文件不同之处只在于extension和input form两部分，该部分为以下信息的Base64编码结果（展示信息为方便阅读已被格式化过）：
{
"ext":".<Random_Ext>",
"key":"<Base64Encode（RSA_ENC（AES256_KEY））>",
"network":"<false/true>",
"subid":"0",
"lang":"<lang_id，例如zh-CN>",
"ver":"1.1"
}

文件提供的联系黑客的网站地址：
1.TOR浏览器：http://kwvhrdibgmmpkhkidrby4mccw ... on/5ZSVYS6R0OTLC4TK
2.其他浏览器：https://buydecrypt.hk/5ZSVYS6R0OTLC4TK

您的电脑安全，我们来守护