一款名為 FireCrypt 的勒索軟件正悄然來襲。它不僅具備一般勒索軟件的特性，會將受感染的系統(tǒng)文件惡意加密。還會試圖利用受感染者機(jī)器，向其源碼中硬編碼的 URL 地址，發(fā)起微弱的 DDoS 攻擊。

這個(gè)新型勒索軟件，是由 MalwareHunterTeam (惡意軟件獵人小組)發(fā)現(xiàn)的。 以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的對該惡意軟件的分析報(bào)告。

作為勒索軟件構(gòu)建套件的 FireCrypt

惡意軟件通常通過從源碼編譯生成，或者通過軟件來自動生成，自動化軟件會采用某些輸入?yún)?shù)，并以此來定制惡意軟件的有效載荷。

后者在業(yè)內(nèi)，被稱為惡意軟件構(gòu)建器，一般都為 命令行 應(yīng)用程序或 GUI 的工具。

而 FireCrypt 勒索軟件的作者，則使用的是命令行應(yīng)用程序。在使用過程中，該應(yīng)用程序會自動將 FireCrypt 的樣本文件放在一起，允許他修改基本設(shè)置，而不需要再使用笨重的 IDE，重復(fù)編譯源碼了。FireCrypt 的構(gòu)建器，被命名為 BleedGreen(見下文)，它允許 FireCrypt 作者，給勒索軟件自定義名稱，并使用個(gè)性化圖標(biāo)，來生成一個(gè)獨(dú)特的勒索軟件可執(zhí)行文件。與其他勒索軟件構(gòu)建器相比，BleedGreen 算是一個(gè)比較低端的構(gòu)建器。與其他類似的構(gòu)建器相比，它的自定義選項(xiàng)少的可憐。例如某些類似的構(gòu)建器，還會有比特幣收付款地址，贖金值，電子郵件聯(lián)系地址等設(shè)置選項(xiàng)。

BleedGreen 除了可以將生成的可執(zhí)行文件 EXE ，偽裝為 PDF 或 DOC 的圖標(biāo)外，它還會對勒索軟件的二進(jìn)制文件做細(xì)微的改動，以便在每次編譯時(shí)，都能生成一個(gè)具有不同哈希值的文件。

該技術(shù)經(jīng)常被惡意軟件開發(fā)人員，用來創(chuàng)建所謂的“多態(tài)性惡意軟件”，這樣做的目的就是盡可能的躲避殺毒軟件的查殺。根據(jù)MalwareHunterTeam 的介紹，“BleedGreen 構(gòu)建器是一款非常低端和基礎(chǔ)的勒索軟件構(gòu)建器，因此它并不能真正意義上實(shí)現(xiàn)免殺。”

不過從這也可以看出，F(xiàn)ireCrypt 的作者還是具備一定的惡意軟件開發(fā)經(jīng)驗(yàn)的，而不是一個(gè)只會從 GitHub 下載開源勒索軟件的腳本小子。

FireCrypt 感染過程

能否將 FireCrypt 感染給目標(biāo)系統(tǒng)，取決于勒索軟件的分發(fā)者能否成功誘使目標(biāo)用戶啟動生成的 EXE 可執(zhí)行文件。

一旦生成的惡意 EXE 文件被成功觸發(fā)，那么 FireCrypt 將會殺死計(jì)算機(jī)的任務(wù)管理器(taskmgr.exe)進(jìn)程，并使用 AES-256 加密算法，對列表中的 20 個(gè)文件類型進(jìn)行加密。

所有被加密文件的原始文件名和擴(kuò)展名都將附加“.firecrypt”后綴。例如，名為 photo.png 的文件，將被重命名為 photo.png.firecrypt。

一旦文件加密過程結(jié)束，F(xiàn)ireCrypt 就會在桌面，彈框警告用戶按其要求支付相應(yīng)的贖金，以此來換取文件的解鎖。

據(jù) MalwareHunterTeam 介紹說，該贖金彈框與去年 10月14日 小組發(fā)現(xiàn)的一款勒索軟件的贖金彈框幾乎是一樣的。

當(dāng)時(shí)發(fā)現(xiàn)該勒索軟件時(shí)，好像還處于開發(fā)階段并未成型。直到今年才發(fā)現(xiàn)，有受感染機(jī)器的文件被加密。

唯一不同的是，去年發(fā)現(xiàn)的那款勒索軟件在贖金彈框頂部放置了一個(gè)類似 logo 的標(biāo)志，而 FireCrypt 卻移除了這個(gè)標(biāo)志。

但是，通過仔細(xì)檢查 Deadly 的源代碼，MalwareHunterTeam 發(fā)現(xiàn)這兩款勒索軟件，使用的電子郵件和比特幣地址相同，這表明兩者之間緊密相關(guān)，F(xiàn)ireCrypt 極有可能是 Deadly 這款勒索軟件的升級版。

DDoS 之用垃圾文件填充你的硬盤驅(qū)動器

除了加密受感染用戶文件并向用戶索要贖金外， FireCrypt 還會調(diào)用其源碼包含的一個(gè)函數(shù)，該函數(shù)會持續(xù)不斷地連接到遠(yuǎn)程的一個(gè) URL 地址，下載一些垃圾文件，并自動將其保存在你硬盤的 %Temp% 文件下，同時(shí)命名為 [random_chars]-[connect_number].html。

如果用戶不知道這個(gè)功能，F(xiàn)ireCrypt 將會在短時(shí)間內(nèi)，將垃圾文件迅速填充滿你的 %Temp% 文件夾。

當(dāng)前該版本的 FireCrypt 勒索軟件，將會從遠(yuǎn)程連接并下載 http://www.pta.gov.pk/index.php 上的內(nèi)容，該 URL 為巴基斯坦電信管理局的官網(wǎng)地址。當(dāng)前，我們無法使用勒索軟件的構(gòu)建器修改此 URL。

FireCrypt 的作者將此功能稱為 “DDoSer”，他必須感染成千上萬臺的機(jī)器，才有可能對巴基斯坦電信管理局的官網(wǎng)發(fā)起 DDoS 攻擊。此外，所有受感染的計(jì)算機(jī)，都必須處于連網(wǎng)狀態(tài)，只有這樣才能參與到其發(fā)起的 DDoS 的攻擊。

截至這篇文章發(fā)布，還沒有發(fā)現(xiàn)有效方法來恢復(fù)這些被加密的文件。因此，一旦你感染了這種勒索軟件，想要在短時(shí)間內(nèi)恢復(fù)文件，則可能不得不按要求支付 500 美元 的贖金來解鎖。相反，如果你實(shí)在不愿意或無力支付這筆贖金。那么，請務(wù)必保留好這些被加密文件的副本，或許不久以后就會有人放出它的解密器。

定位文件擴(kuò)展名：

.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent 

與 FireCrypt 勒索軟件相關(guān)聯(lián)的文件：

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable  
%Desktop%\[random_chars]-READ_ME.html - Ransom Note  
%AppData%\SysWin32\files.txt - List of Encrypted Files  
%Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files  
%Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack 

與 FireCrypt 勒索軟件相關(guān)的哈希值：

leedGreen 構(gòu)建器(當(dāng)前 VirusTotal 掃描結(jié)果顯示，在 57 款殺毒軟件檢測中，只有 2 款殺毒軟件，認(rèn)為它是惡意軟件)：

SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d 

一個(gè) FireCrypt 勒索軟件二進(jìn)制示例(當(dāng)前 VirusTotal 掃描結(jié)果顯示，在 57 款殺毒軟件檢測中，只有 13 款殺毒軟件，認(rèn)為它是惡意軟件)：

SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f 

電子郵件地址和付款聯(lián)系人：

EMAIL: gravityz3r0@sigaint.org