冒牌勒索病毒化身“數(shù)據(jù)提取機”，專偷軍事機密文檔

本文作者：大壯旅

編輯：李勤

2019-09-12 15:08

導語：黑客也講拿來主義？

雷鋒網(wǎng)發(fā)現(xiàn)，最近，一種與 Ryuk 勒索病毒有著千絲萬縷聯(lián)系的新型惡意軟件被人揪了出來。據(jù)悉，這種惡意軟件胃口可不小，它盯上的都是各種金融、軍事和執(zhí)法機關的機密文檔。當然，它與 Ryuk 還不太相同，因為 Ryuk 勒索病毒僅僅是將文檔加密而后索要贖金，它可不會從被感染的電腦上盜取機密文檔。

據(jù) Bleeping Computer 美國時間 9 月 11 日報道，發(fā)現(xiàn)這種新型惡意軟件的 MalwareHunterTeam 團隊指出，該惡意軟件由背后的攻擊者全權控制，他們會引導其搜索敏感文檔，竊取成功后就上傳至指定的 FTP 站點。

為什么說這個病毒與 Ryuk 勒索病毒有著千絲萬縷的聯(lián)系？因為這個“數(shù)據(jù)提取機”的代碼中留有許多 Ryuk 的影子。

嗅探機密文檔

這種新惡意軟件是如何盜取機密文檔的？逆向工程與安全研究人員 Vitali Kremez 給我們解釋了一番。

原來，在執(zhí)行任務時，這個“數(shù)據(jù)提取機”會先對電腦上的文檔進行遞歸掃描，尋找值得盜取的 Word 與 Excel 文檔。

在搜尋文檔時，如果它遇到任何符合標準的文件夾或文檔，就會停下來對其進行檢查。有用的話就照單全收，沒用就繼續(xù)尋找下一個目標，這樣的手法與勒索病毒如出一轍。

如果你想知道哪些文件夾或文檔的命名“最安全”（上了黑客的黑名單），可以參考下圖中的清單。

除了這些上了黑名單，一看就沒什么價值的文檔，那些與 Ryuk 有關的文檔（比如 RyukReadMe.txt 或帶有 .RYK 后綴的文檔）“數(shù)據(jù)提取機”也會自動繞著走。

冒牌勒索病毒化身“數(shù)據(jù)提取機”，專偷軍事機密文檔

Tu 1：“數(shù)據(jù)提取機”懶得看一眼的文檔

如果文檔不在黑名單上，“數(shù)據(jù)提取機”緊接著就會檢查它是不是 .docx 或 .xlsx 文檔。

冒牌勒索病毒化身“數(shù)據(jù)提取機”，專偷軍事機密文檔

Tu 2：“數(shù)據(jù)提取機”在搜索 .docx 和 .xlsx 文檔

定位到 .docx 或 .xlsx 文檔后，惡意軟件會使用 libzip 的 zip_open 和 zip_trace 功能驗證它們的目標是不是有效的 Word 或 Excel 文檔。驗證方法也不難，“數(shù)據(jù)提取機”只需對 word/document.xml 或 xl/worksheets/sheet（分別歸屬于 Word 和 Excel）進行檢查和驗證即可。

冒牌勒索病毒化身“數(shù)據(jù)提取機”，專偷軍事機密文檔