勒索病毒买一赠一？ 新型勒索病毒RoBaj还未传播先被感染

近日360安全大脑监测到一款新型勒索病毒RoBaj。该病毒使用C#编写，通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。但较为不同的是，该病毒不仅提供了中文勒索信息，其自身还被蠕虫感染，具有蠕虫功能。这也让是受害者面临的威胁与损失加倍扩大。360高级威胁研究分析中心目前已完成对该病毒的破解，有中招的用户，可以联系我们进行解密。

攻击过程：
该病毒使用典型的勒索攻击方式，攻击者在拿下目标后会首先投放横移工具，如Netpass64.exe、windows密码破解器等，并创建后门账户以备后用：
之后开始进一步横向渗透，扩大攻击范围。当拿到核心设备或已掌握大量设备后，攻击者最终会投递勒索病毒RoBaj-S.exe实施破坏工作。


文件释放
当病毒RoBaj-S.exe被触发执行后，首先会释放使用的资源文件：


其中，“Deion Unlock Files.exe”为锁屏与勒索提示程序。而“Deion Unlock Files.txt”则是勒索提示文档，与之对应的“说明 解锁文件（英文）.txt”虽然标题中有“英文”，但其实是中文版的勒索信息文档。
通过对比中英文两个版本的勒索信息会发现，中文版的勒索信息显得颇为“生硬”，不自然，更像是直接从英文版勒索信息“机翻”而来。




代码分析
准备工作
释放必要的文件后，程序会启动之前释放在Public Docker目录下的system32.exe加密程序。system32.exe启动后会等待接收启动参数，只有输入正确参数后，后才会继续执行功能。该设定通常是为了绕过一些分析沙箱的自动检测。


之后，病毒会执行Files目录下的off-task.exe程序。该程序会临时创建一个bat批处理脚本并执行。被执行的批处理脚本的主要功能是通过修改注册表来禁用taskmgr、perfmon调试器选项、UAC以及系统自带杀毒软件等一系列系统的安全管理及防护功能。此外，批处理脚本还会将自身添加为开机启动项，以此来保证下次开机能继续运行。
完成上述操作后病毒会继续遍历进程，尝试杀掉除勒索信息、系统桌面及命令行宿主进程外的一切进程，这样做的主要目的是尽最大可能排除其他进程干扰，使自身可以尽可能多的加密文件。


执行加密
此时，病毒开始执行最关键的加密环节。该勒索病毒使用的文件加密密钥是通过随机数方式产生。但病毒会把这个生成的密钥与磁盘当前的使用情况等信息一同写入文件“ent.txt”中，然后使用AES加密生成的密钥（该加密过程使用内置固定密钥），再经Base64编码后写入到“ent.ent”文件中，这个文件后续未被清除，这也给了我们对该病毒进行破解解密的机会。


接下来，程序开始遍历磁盘上的目录与文件进行加密，但会排除一些特殊目录与文件扩展名。
其中，被排除掉的目录主要是重要的系统及程序目录：
