利用“永恒之蓝”漏洞的Yatron勒索软件

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/12 09:42:42 401次阅读 国际
文章来源:http://www.mottoin.com/detail/3865.html
AZjQGMwLodzvAKShikx6F53KHH3yiZrFmiNarGMU.png

       一款名为Yatron的勒索软件在推特上宣称要利用EternalBlue和DoublePulsar漏洞感染其他计算机,如72小时内不付款还将删除加密文件。

Yatron的勒索软件

LSOzYryHZP6SJMoXkThiNWgrcnSzAFwrkyWqXBwH.png

开发者推文

       与其他勒索软件一样,该软件执行时也会扫描计算机中的目标文件、并对其进行加密,并将扩展名“.Yatron ” 附加到加密文件,如下图:

sIH3fnAZVVi1l95JkOmq62hYmfchTvu0pA4ryfwI.png

加密的Yatron文件

       完成加密文件后,它会将加密密码和唯一ID发送回勒索软件的命令和控制服务器。根据Gillespie的说法,这个勒索软件基于HiddenTear,但其加密算法已被修改,因此无法使用当前方法对其进行解密。

       一旦加密完成,事情开始变得更有趣。

      Yatron里所含代码使用“永恒之蓝”和“DoublePulsar”漏洞传播到Windows设备上,与早就该修补的SMBv1漏洞用了同一个网络,所幸利用代码不够完整、目前还不包括所赖的Eternalblue-2.2.0.exe和Doublepulsar-1.3.1.exe可执行文件。

但是,一些代码尝试配置变量来执行下图中的利用命令。

DrMJStH2RUVxEiqaZvLtHrYNYSeOwT966qr13Hs5.png

配置多个变量进行漏洞利用

如所需的可执行文件已经存在于计算机上,勒索软件便尝试触发,如下图:

6e8yUvayNlrI7wQ9psChkomaXqe3yDVrckcC4luz.png

执行永恒之蓝利用命令

       除利用漏洞之外,Yatron还尝试通过通过P2P程序将勒索软件可执行文件复制到Kazaa,Ares,eMule等程序使用的默认文件夹进行传播,在这些程序启动时,勒索软件自动通过P2P客户端共享。

Es7Ko6JAuxnddnvHWiE1ec0NcIfBGHezXWas61Hs.png

P2P共享

       完成后,勒索软件会显示一个72小时倒计时的界面,直到加密文件被删除。为防止文件被删除,用户可以使用像Process Explorer这种工具以管理员身份运行,终止勒索流程。

dW5704LiiB9KJ4E3uA2PP3DUTrwkf4mpbt55T2y9.png

Yatron勒索软件

作为RaaS推广

        Yatron被推广为Ransomware-as-a-Service,但其与大多数RaaS服务的做法略有不同。 通常情况下,当想要加入RaaS的犯罪分子时,开发人员会收取所有提交的赎金付款的收益分成。例如,一些RaaS服务将收取所有赎金支付的20%,而同伙/分销商获得剩余的80%;而Yatron开发商与另一款名为“Jokeroo”的RaaS一样,以100美元的比特币出售,之后不再付费。

QYVjfZeo3cRJl3fzpUPlaE6N3l56RO2Dqy5H9SpF.png

Yatron RaaS服务

       与所有RaaS产品一样,Yatron承诺提供FUD可执行文件,其可加密计算机及删除卷影副本。此勒索软件还通过P2P,USB和LAN进行传播。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室