卡巴斯基研究人员最近几天通过反勒索软件模块检测到恶意软件的新变种KeyPass勒索软件,传播方式为下载勒索软件模块的虚假安装程序,并在8月份开始积极传播。研究人员对监测到的事例分析看出,KeyPass程序用C 编写,并在MS Visual Studio中编译,使用库MFC、Boost和Crypto 进行开发。PE报头包含最近的编译日期8月7日。当在受害者的计算机上启动时,KeyPass将其可执行文件复制到%LocalAppData%并启动,然后将原始位置文件删除。之后KeyPass将衍生自己进程的多个副本,并将加密密钥和受害者ID作为命令行参数传递。KeyPass从受感染计算机可枚举访问本地驱动器和网络共享,并搜索所有文件,它会跳过多个目录中的文件,其路径被硬编码到样本中。在已处理的目录中,保存扩展名为.KEYPASS机密文件和勒索赎金说明!!!KEYPASS_DECRYPTION_INFO!!!.txt。KeyPass开发人员在CFB模式下,使用带有zero IV和相同的32字节密钥的对称算法AES-256的简单方案对所有文件进行加密,启动后,KeyPass连接到C&C服务器,并接收当前受害者的加密密钥和感染ID,数据以JSON的形式通过纯HTTP传输。如果C&C无法访问,使用硬编码密钥和ID进行离线加密,此时对受害者文件进行解密将是不重要的。研究人员称KeyPass木马包含一个默认隐藏的表单,按下键盘上的特殊按钮后可以显示该表单,此功能表明该木马可以采用手动控制。
国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关资讯。