PyLocky有什么用

這篇文章將為大家詳細(xì)講解有關(guān)PyLocky有什么用，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

毫無(wú)疑問(wèn)，在目前的網(wǎng)絡(luò)威脅領(lǐng)域中，勒索軟件仍然扮演著十分重要的角色。實(shí)際上，在2018年上半年勒索軟件的活動(dòng)還有所增加，并且相關(guān)勒索軟件還通過(guò)各種升級(jí)更新來(lái)嘗試避開(kāi)現(xiàn)有的安全解決方案，比如說(shuō)PyLocky（趨勢(shì)科技將其標(biāo)記為RANSOM_PYLOCKY.A）就是一個(gè)很好的例子。

在7月下旬和整個(gè)8月份，研究人員發(fā)現(xiàn)了一個(gè)通過(guò)垃圾郵件來(lái)傳播PyLocky勒索軟件的攻擊活動(dòng)。雖然PyLocky的勒索信息風(fēng)格跟Locky非常相似，但是PyLocky跟Locky并沒(méi)有什么關(guān)系。PyLocky采用Python編寫(xiě)，并采用PyInstaller封裝。實(shí)際上，采用Python來(lái)開(kāi)發(fā)的勒索軟件并不是什么新鮮事了，比如說(shuō)2016年的CryPy（RANSOM_CRYPY.A），和2017年的Pyl33t (RANSOM_CRYPPYT.A)，但是PyLocky具備了反機(jī)器學(xué)習(xí)的能力，這也是它的“閃光點(diǎn)”之一。它同時(shí)使用了Inno Setup Installer（一款基于開(kāi)源腳本的安裝器）和PyInstaller，因此這樣會(huì)增加靜態(tài)分析方法的檢測(cè)難度，其中就包括了基于機(jī)器學(xué)習(xí)的解決方案。

需要注意的是，PyLocky的傳播地區(qū)也比較集中，我們發(fā)現(xiàn)該活動(dòng)主要針對(duì)的是歐洲地區(qū)的用戶，尤其是法國(guó)。

感染鏈

8月2日，我們檢測(cè)到了一波針對(duì)法國(guó)企業(yè)的PyLocky攻擊活動(dòng)，該活動(dòng)中攻擊者主要通過(guò)以發(fā)票為主題的垃圾郵件來(lái)引誘目標(biāo)用戶感染勒索軟件。在電子郵件中，攻擊者使用了社會(huì)工程學(xué)技術(shù)來(lái)誘使用戶點(diǎn)擊惡意鏈接，而惡意鏈接會(huì)將用戶重定向到包含了PyLocky勒索軟件的惡意URL。

惡意URL指向的是一個(gè)包含了已簽名可執(zhí)行文件(Facture_23100.31.07.2018.exe)的ZIP文件(Facture_23100.31.07.2018.zip)。成功運(yùn)行之后，F(xiàn)acture_23100.31.07.2018.exe會(huì)讓目標(biāo)主機(jī)感染惡意組件（一些C++文件、Python庫(kù)和Python 2.7核心動(dòng)態(tài)鏈接庫(kù)DLL），以及主要的勒索程序（lockyfud.exe，通過(guò)PyInstaller創(chuàng)建，存放目錄為C:\Users\{user}\AppData\Local\Temp\is-{random}.tmp）。

PyLocky能夠加密圖片、視頻、文檔、音頻、程序、游戲、數(shù)據(jù)庫(kù)文件和壓縮文檔等等。下面給出的是PyLocky可加密的文件類(lèi)型：

.dat,.keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k,.j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm,.tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp,.asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt,.pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key,.pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm,.html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps,.ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk,.app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml,.c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb,.vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr,.deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt,.fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

加密程序

PyLocky支持加密的文件類(lèi)型是硬編碼在配置文件中的，并且利用了Windows管理規(guī)范(WMI)來(lái)收集受感染設(shè)備的系統(tǒng)信息。如果受感染系統(tǒng)的可見(jiàn)內(nèi)存大小小于4GB的話，PyLocky還可以通過(guò)休眠999999秒（11.5天）來(lái)躲避沙盒環(huán)境。如果內(nèi)存大小大于或等于4GB的話，PyLocky將會(huì)直接執(zhí)行文件加密程序。

加密完成之后，PyLocky將會(huì)與遠(yuǎn)程命令控制服務(wù)器建立通信連接。PyLocky使用PyCrypto庫(kù)來(lái)實(shí)現(xiàn)加密，這里利用的是3DES加密算法。PyLocky首先會(huì)枚舉邏輯驅(qū)動(dòng)器，并在調(diào)用‘efile’方法之前生成一份文件列表，而這個(gè)方法會(huì)用已加密的文件內(nèi)容覆蓋原始的文件內(nèi)容，然后發(fā)送勒索消息。

PyLocky的勒索信息采用了英語(yǔ)、法語(yǔ)、韓語(yǔ)和意大利語(yǔ)編寫(xiě)，這也表明韓國(guó)和意大利地區(qū)的用戶可能也會(huì)受到影響。

入侵威脅指標(biāo)IoC

RANSOM_PYLOCKY.A(SHA-256)：

c9c91b11059bd9ac3a0ad169deb513cef38b3d07213a5f916c3698bb4f407ffa1569f6fd28c666241902a19b205ee8223d47cccdd08c92fc35e867c487ebc999

相關(guān)哈希(SHA-256)：

e172e4fa621845080893d72ecd0735f9a425a0c7775c7bc95c094ddf73d1f844(Facture_23100.31.07.2018.zip)2a244721ff221172edb788715d11008f0ab50ad946592f355ba16ce97a23e055(Facture_23100.31.07.2018.exe)87aadc95a8c9740f14b401bd6d7cc5ce2e2b9beec750f32d1d9c858bc101dffa(facture_31254872_18.08.23_{numbers}.exe)

相關(guān)惡意URL：

hxxps://centredentairenantes[.]fr(C&C server)hxxps://panicpc[.]fr/client[.]php?fac=676171&u=0000EFC90103hxxps://savigneuxcom[.]securesitefr[.]com/client.php?fac=001838274191030

關(guān)于“PyLocky有什么用”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。