一、綜述
近日，火絨實(shí)驗(yàn)室截獲了一個(gè)新勒索病毒Spora，通過漏洞和誘騙方式傳播，除了加密被感染電腦的本機(jī)文件外（doc/ppt/psd/jpg……等各種文件類型），還會(huì)加密局域網(wǎng)共享文件夾中的文件，然后彈出窗口，向受害者索取贖金。
Spora利用漏洞和假冒網(wǎng)站彈窗傳播。該病毒利用的第1個(gè)漏洞是IE漏洞，存在于IE9以上的瀏覽器版本中，該病毒利用的第2個(gè)漏洞是Flash漏洞。該病毒假冒的網(wǎng)站彈窗，模仿的是Chrome瀏覽器。因此，使用IE9/10/11、FlashPlayer和Chrome瀏覽器的用戶要格外小心。
該病毒團(tuán)伙制造大量以假亂真的仿冒網(wǎng)站，通過百度、谷歌等搜索引擎去傳播。一部分受害者在訪問這些假冒網(wǎng)站時(shí)，Spora病毒通過漏洞進(jìn)入用戶電腦；另一部分受害者則是被這些假冒網(wǎng)站的Chrome瀏覽器彈窗所欺騙，這些彈窗謊稱電腦缺少HoeflerText字體，并提示用戶下載安裝字體文件，所謂的字體文件就是病毒。
火絨安全團(tuán)隊(duì)分析，Spora病毒未來(lái)可能會(huì)產(chǎn)生兩種變化：首先，該病毒進(jìn)入電腦經(jīng)過兩步，先下載病毒下載器，再由病毒下載器下載病毒，所以病毒團(tuán)伙可以通過該病毒下載器下載各種新病毒。其次，病毒團(tuán)伙制作仿冒網(wǎng)站時(shí)使用的是付費(fèi)漏洞工具RIGEK，而RIGEK還提供其他多種服務(wù)，所以該勒索病毒可能會(huì)出現(xiàn)新的傳播方式。
廣大火絨用戶不用擔(dān)心，“火絨安全軟件”默認(rèn)開啟的監(jiān)控功能即可攔截該病毒的下載，保持開啟火絨軟件即可完美地防御Spora病毒，同時(shí)“火絨安全軟件”也完成了升級(jí)，可以徹底查殺清除該病毒。
針對(duì)最近勒索軟件層出不窮的狀況，火絨實(shí)驗(yàn)室再次提醒廣大用戶，安裝合格的安全軟件是電腦的最基本安全措施，保持相應(yīng)的安全設(shè)置和升級(jí)功能，可以有效防御勒索軟件等各種惡性安全威脅。
二、傳播方式
火絨近期截獲到一組病毒樣本，其通過如IE、FlashPlayer漏洞或者誘騙用戶點(diǎn)擊的方式進(jìn)行惡意代碼傳播，其傳播的惡意代碼中包含有勒索病毒。
1、漏洞傳播
病毒作者會(huì)將帶有Flash漏洞或者IE漏洞的頁(yè)面發(fā)布到互聯(lián)網(wǎng)中，之后通過仿冒網(wǎng)址等手段，誘騙用戶訪問帶有漏洞的網(wǎng)站頁(yè)面。在觸發(fā)漏洞后IE進(jìn)程會(huì)啟動(dòng)wscript.exe執(zhí)行惡意腳本，下載惡意代碼到本地進(jìn)行執(zhí)行。如下圖所示：

觸發(fā)漏洞
經(jīng)過對(duì)該漏洞頁(yè)面進(jìn)行解密之后，我們得到了一段JavaScript代碼，如下圖所示：

JavaScript代碼
將變量“s”中的數(shù)據(jù)用Base64算法進(jìn)行解密之后，可以得到VBScript代碼，在其腳本代碼中存放有一個(gè)動(dòng)態(tài)庫(kù)。如下圖所示：

VBScript代碼
VBScript代碼中存放有一個(gè)動(dòng)態(tài)庫(kù)的二進(jìn)制數(shù)據(jù)，根據(jù)其代碼結(jié)構(gòu)我們得知該報(bào)告中所提及的兩個(gè)傳播頁(yè)面都是使用漏洞工具箱RigEK生成的。RigEK是一個(gè)專門制作釣魚頁(yè)面的滲透工具箱，工具箱會(huì)通過仿冒網(wǎng)址、掛馬廣告頁(yè)面等多種手段進(jìn)行病毒推送，雖然該工具箱的服務(wù)費(fèi)用高達(dá)每周150美元，但是其依然在黑產(chǎn)市場(chǎng)中擁有龐大的用戶群。該工具箱會(huì)使用多種不同漏洞進(jìn)行傳播，火絨截獲樣本中帶有漏洞的HTML頁(yè)面包含CVE-2016-0189的漏洞利用代碼。該工具箱經(jīng)常利用的漏洞，如下圖所示：

RigEK工具箱常見使用漏洞列表
該工具箱制作組織維護(hù)有數(shù)量龐大的病毒推送代理域名，黑客僅需上傳病毒Payload部分，就可以通過這些共享的代理域名在互聯(lián)網(wǎng)中傳播自己的病毒程序。
漏洞觸發(fā)后會(huì)運(yùn)行命令行執(zhí)行惡意JScript代碼。命令行參數(shù)，如下圖所示：

根據(jù)我們的整理和分析，其漏洞觸發(fā)后運(yùn)行的腳本為下載者病毒，可以根據(jù)病毒作者需求下載執(zhí)行任意可執(zhí)行文件或者動(dòng)態(tài)庫(kù)。其遠(yuǎn)程服務(wù)器中所存放的病毒數(shù)據(jù)是進(jìn)行過加密的，該惡意腳本會(huì)先將下載到的病毒數(shù)據(jù)存放在內(nèi)中進(jìn)行解密，之后根據(jù)PE結(jié)構(gòu)IMAGE_FILE_HEADER結(jié)構(gòu)中的Characteristics屬性判斷下載到的PE文件是否為動(dòng)態(tài)庫(kù)，如果是動(dòng)態(tài)庫(kù)則使用regsvr32.exe啟動(dòng)，如果不是動(dòng)態(tài)庫(kù)則直接使用cmd.exe執(zhí)行。代碼如下圖所示：

下載者病毒代碼
2、欺騙用戶方式傳播
病毒作者依然會(huì)以仿冒網(wǎng)站為誘騙用戶訪問頁(yè)面的主要形式，但是其下載運(yùn)行病毒的方式卻沒有利用漏洞傳播那么暴力，而是以欺騙用戶點(diǎn)擊的方式進(jìn)行。在訪問帶有網(wǎng)頁(yè)時(shí)，用戶會(huì)看到頁(yè)面顯示的字符全是亂碼，過一秒之后會(huì)彈出仿冒的Chrome彈窗提示：未找到“HoeflerText”字體，需要下載執(zhí)行Chrome_Font.exe，當(dāng)瀏覽器彈出是否運(yùn)行該文件時(shí)點(diǎn)擊“是”。如果用戶按照其提示的步驟進(jìn)行操作，最終會(huì)下載運(yùn)行勒索病毒。如下圖所示：

下載執(zhí)行勒索病毒
病毒作者會(huì)將其想要仿冒的網(wǎng)站頁(yè)面代碼通過保存頁(yè)面，在下載到的網(wǎng)頁(yè)代碼中插入惡意腳本。如下圖所示：
網(wǎng)頁(yè)代碼對(duì)比（左為修改后，右為修改前）
被插入惡意代碼的網(wǎng)頁(yè)加載時(shí)，JavaScript腳本會(huì)將所有“>”與“

網(wǎng)頁(yè)亂碼
其相關(guān)代碼，如下圖所示：

制造亂碼的JavaScript腳本
其插入的惡意代碼中包含一個(gè)仿冒的彈窗，該彈窗最初是不可見的。如下圖所示：

仿冒Chrome界面的隱藏的彈窗
當(dāng)頁(yè)面運(yùn)行到下圖所示腳本時(shí)會(huì)延時(shí)一秒鐘后JavaScript腳本會(huì)將彈窗的display屬性置為可見。如下圖所示：

延時(shí)彈出仿冒彈窗

仿冒的窗口彈出
當(dāng)用戶點(diǎn)擊“Update”按鈕之后則會(huì)開始下載名為“Chrome_Font.exe”的勒索病毒，并彈出提示誘導(dǎo)用戶運(yùn)行該病毒。如下圖所示
：

誘導(dǎo)用戶執(zhí)行病毒

病毒作者偽造的Chrome組件升級(jí)窗口
如果用戶點(diǎn)擊“Update”按鈕，就會(huì)下載名為“Chrome_Font.exe”的勒索病毒程序，在病毒被下載的同時(shí)還會(huì)彈出。如下圖所示：

惡意代碼彈出的提示窗口
三、Payload分析
頁(yè)面?zhèn)鞑サ牟《緸槔账鞑《綬ansom/Spora，該病毒近期在互聯(lián)網(wǎng)中的傳播速度呈上升趨勢(shì)。由于用于加密關(guān)鍵數(shù)據(jù)的RSA公鑰是病毒作者生成的，所以如果中毒用戶想要恢復(fù)被加密的數(shù)據(jù)文件，就只能通過繳納贖金的方式，獲取到對(duì)應(yīng)的RSA私鑰進(jìn)行解密。而且病毒不但會(huì)加密用戶的本地文件，還會(huì)遍歷局域網(wǎng)加密的文件格式，如下圖所示：

加密的擴(kuò)展名列表
該病毒初次運(yùn)行會(huì)在%APPDATA%目錄下釋放名為系統(tǒng)所在盤符卷序號(hào)的文件，下文中為勒索數(shù)據(jù)文件。如下圖所示：

釋放文件
病毒加密文件過程中會(huì)在該文件中記錄下相關(guān)數(shù)據(jù)，如當(dāng)前勒索流程所處步驟、被加密的所有文件路徑、加密中所生成的RSA公鑰和加密后產(chǎn)生的ID，文件中所存放的數(shù)據(jù)都通過CryptProtectData函數(shù)進(jìn)行過加密，并且以數(shù)據(jù)塊形式進(jìn)行存儲(chǔ)。如下圖所示：

數(shù)據(jù)文件結(jié)構(gòu)
存放上述數(shù)據(jù)所涉到的相關(guān)代碼，如下圖所示：

根據(jù)數(shù)據(jù)塊偏移寫入數(shù)據(jù)
該文件的第一個(gè)數(shù)據(jù)塊中記錄著當(dāng)前所要執(zhí)行的勒索步驟，如果病毒在勒索過程中意外退出，重新啟動(dòng)會(huì)繼續(xù)執(zhí)行器剩余流程。其流程共分為五個(gè)步驟：
1.導(dǎo)入存放在PE鏡像中的RSA公鑰（下文中稱MasterRSA公鑰），之后遍歷本地目錄和網(wǎng)絡(luò)共享，將需要加密的文件路徑加密后存在在勒索數(shù)據(jù)文件中，如果沒有可以加密的文件則會(huì)在本地各盤符和網(wǎng)絡(luò)共享中創(chuàng)建指向勒索病毒的快捷方式，進(jìn)行病毒傳播。代碼如下圖所示：

代碼展示
2.重新生成一組RSA密鑰（SubRSA密鑰），將公鑰導(dǎo)出寫入到勒索數(shù)據(jù)文件中。生成勒索描述頁(yè)面，頁(yè)面中包含兩個(gè)數(shù)據(jù)：
a)生成勒索ID。ID是基于地域信息、加密信息數(shù)據(jù)整體的部分MD5和加密的各種類型文件數(shù)量生成的，將上述信息拼接后，將數(shù)字和“|”符號(hào)用字母進(jìn)行替換，最后生出如“CH065-DDZTZ-TZTZT-RZTHY”類似的ID。如下圖所示：

生成ID代碼

字符替換
b)加密的勒索狀態(tài)相關(guān)數(shù)據(jù)，其中包括：SubRSA私鑰、加密日期、系統(tǒng)用戶名、地域信息、勒索病毒標(biāo)記、加密各種類型文件的數(shù)量。數(shù)據(jù)使用其運(yùn)行時(shí)生成的AES密鑰進(jìn)行加密，之后將該密鑰用MasterRSA公鑰進(jìn)行加密之后將加密的AES密鑰數(shù)據(jù)放與整體數(shù)據(jù)尾部，最后再用Base64算法進(jìn)行一次加密防止數(shù)據(jù)被截?cái)唷��?shù)據(jù)內(nèi)容如下圖所示：
描述頁(yè)面中數(shù)據(jù)存放的結(jié)構(gòu)

構(gòu)造數(shù)據(jù)的代碼
3.根據(jù)其記錄的加密文件路徑列表進(jìn)行文件加密，每個(gè)文件加密是都會(huì)生成一份獨(dú)立的AES密鑰，進(jìn)行文件加密后使用SubRSA公鑰對(duì)AES密鑰進(jìn)行加密，再將加密后的AES密鑰數(shù)據(jù)計(jì)算crc32，將兩個(gè)數(shù)據(jù)按描述順序拼接后，放置到被加密文件數(shù)據(jù)尾部，病毒在加密過程中會(huì)計(jì)算加密的AES密鑰存放位置與最后四個(gè)字節(jié)的crc32值相符，如果相符說明已經(jīng)進(jìn)行過加密，不再進(jìn)行重復(fù)加密。被加密的文件數(shù)據(jù)最小為0×20個(gè)字節(jié)，最多為0×500000個(gè)字節(jié)。如下圖所示：

被加密的文件數(shù)據(jù)結(jié)構(gòu)

加密文件

判斷是否被加密

文件數(shù)據(jù)加密
4.刪除系統(tǒng)還原點(diǎn)。刪除注冊(cè)表鍵值HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\IsShortcut，使快捷方式不再具有左下角的特殊標(biāo)記，為此后的病毒流程做準(zhǔn)備。

代碼展示
5.打開勒索病毒描述頁(yè)面。
6.將本地磁盤根目錄、桌面和網(wǎng)絡(luò)共享中的文件夾放入具有隱藏文件屬性的勒索病毒，并將這些文件夾隱藏，之后創(chuàng)建同名的快捷方式。每次點(diǎn)擊這些快捷方式后，會(huì)執(zhí)行一段控制臺(tái)命令，除了打開同名文件夾外，還會(huì)運(yùn)行勒索病毒，從而達(dá)到其持續(xù)加密和局域網(wǎng)傳播的目的。病毒為了執(zhí)行時(shí)更加隱蔽，其會(huì)將同目錄下的勒索病毒拷貝到%temp%目錄進(jìn)行執(zhí)行，即使%temp%目錄中的勒索病毒執(zhí)行時(shí)被安全軟件查殺也不會(huì)影響其事先構(gòu)造的目錄結(jié)構(gòu)，依然可以駐留在用戶計(jì)算機(jī)中。由于將前面流程中已經(jīng)把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\IsShortcut鍵值刪除，所以其快捷方式圖標(biāo)與目錄圖標(biāo)完全相同。如下圖所示：

創(chuàng)建與目錄同名的快捷方式

快捷方式中包含的命令行

釋放快捷方式代碼
四、相關(guān)樣本