UNNAMED1989勒索病毒分析报告

病毒简介

2018年12月1日，国内出现首个要求使用微信支付的勒索病毒，在网络中引起不小的恐慌。该勒索病毒病毒使用E语言开发，是有史以来第一款使用中文开发的勒索病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件，中毒后重启机器会弹出勒索信息提示框，并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。

图：勒索主界面

病毒分析

瑞星对该勒索病毒的生命周期做了详细分析，发现该病毒具有一定危害性，但并没有达到公众对其恐慌的级别。该病毒作者应属于初级开发水平，没有任何技术含量可言，唯一的亮点是其传播途径“供应链污染”。

1、加密算法简单，被勒索文件可以完全还原

病毒作者声称文件使用DES加密算法加密，加密密钥被上传到服务器。瑞星安全专家通过分析发现该病毒使用的是异或加密，所有文件使用同一密钥进行加密，并且密钥存储在本地。所以在本地密钥没有被删除的情况下，文件完全可以恢复。相比于国外流行的勒索使用对称非对称加密算法，该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。

从C2配置文件的加密算法上也可以看出病毒作者使用的加密算法比较简单，病毒作者使用豆瓣、CSDN、简书、github等知名博客网站当作C2 存储配置信息。

图：豆瓣C2配置信息

病毒作者对于配置文件信息的解密算法，只是简单的分割字符减去101，没有任何复杂性可言。从病毒作者使用的种种加密算法上可以看出，该作者是一个初级的病毒开发者。

2、该病毒不会主动传播，感染范围可控

相于WanaCrypt勒索病毒利用永恒之蓝漏洞迅速传播全球，该勒索病毒没有任何主动传播途径，该病毒受害者都是在不知情的情况下运行了被插入病毒代码的软件，没有利用任何漏洞进行传播，所以病毒受害者范围都会控制在使用病毒软件的范围内，不会对其他未使用带毒软件的用户造成任何影响，这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为E语言爱好者，被植入病毒代码的软件大部分为黑灰产软件，对于普通人来说不用过度太担心。

图：被供应链污染的软件

3、病毒作者安全意识缺乏，被抓只是时间问题

第一、病毒作者使用微信支付的方式进行勒索。微信支付都要求实名，监管机构很容易通过微信收款账号查出收款人，即便病毒作者使用的是虚假微信收款账户，也能通过资金的流向定位到背后嫌疑人，所以通过微信来收款，完全是在作死。

第二、病毒作者将服务器的账号密码存放在C2的配置文件中。病毒作者对C2配置信息使用简单的加密方法，并将这些配置信息存放在一些公开的博文中，所以很容易解密这些配置信息。这些配置信息包括病毒服务器的FTP账号密码、 MySql 数据库账号密码，由此可见病毒作者的安全意识十分淡薄。

图：被作者泄露的服务器信息

第三，在配置文件中解密出来的Mysql账号密码是该病毒作者的日常通用密码，通过该密码可以登录该病毒作者的微博、百度、360、爱奇艺、中关村在线、印象笔记等网站。通过这些网站也暴露了病毒作者的真实身份。

图：病毒作者某网站的后台登陆记录

病毒作者在后门的C2地址里留有两个未被注册的域名，一个是 www.lsy19960417.com ，另一个是 www . lsy 1 9960417.cn ，为了防止这两个域名被病毒作者或其他人控制，瑞星第一时间sinkhole了这两个域名，通过这两个域名的访问日志，瑞星可以掌握一些该病毒作者“经营”的势力范围。瑞星将访问C2的网络流量接入到了瑞星态势感知平台。

图：服务器收集到病毒访问C2的日志

图：瑞星态势感知潜在受害者的位置分布

瑞星统计了潜在受害者的地域分布，通过分析发现，几乎全国各地都有感染者，排名靠前的有四川、河南和广东，说明该病毒作者通过供应链污染投毒还是挺成功的。

图：潜在受害者的地域分布

瑞星对病毒样本进行分析发现，通过供应链污染被病毒开发者植入的后门C2地址有5个，分别如下：

图：病毒C2服务器信息

豆瓣地址已被工作人员删除，github上的C2地址也已被删除，估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析，剩下两个被瑞星Sinkhole了，但病毒潜在的威胁仍然存在。

威胁存在于github和作者持有的域名上，那两个地址随时可能被病毒作者启用，投递其的恶意病毒，此次投递的是可解密的勒索病毒，下次可能就是升级版的不可解密的勒索病毒。

目前，瑞星公司所有产品均可对其进行拦截。

图：瑞星ESM成功清除

图：瑞星之剑成功拦截