初步分析勒索软件ZEPTO

前段时间突然收到一个客户的电话，报告说她的电脑出了问题，所有文件都无法打开了，据她们自己的IT人员发现所有文件都多了一个.zepto的扩展名。

我当时一听到就咯噔一声，糟了，中勒索软件了，zepto是个新的变种，隶属于Locky家族。说实话，最怕听到有客户机器感染此类勒索软件，基本没有办法可以修复，如果数据非常重要，而又没有恰当的备份，简直就是灾难级别的事故。没有办法，只好放下手中的工作立即赶过去协助处理。

一边赶路，一边通知客户立即断网，关机，虽然目前看来，所有的勒索软件暂时没有拥有蠕虫病毒的特性，但是不怕一万就怕万一，万一这个新的变种拥有了自我复制到其他机器的话那就大麻烦了，所以第一时间断网处理，至于关机，也是很有必要的，最大可能减少磁盘的读写，以及对磁盘扇区的覆盖(然并卵)。同时，也打开度娘搜搜相关资料，可惜度娘一如既往的给力，这命中率也是感人。

好吧，使用“zepto 勒索”才返回了一些关联结果，不过大都是无用的求救信息，参考参考咯。

赶到客户那里后，了解了一下情况，用户使用Outlook收到了一些邮件，有些是invoice，那么很明显的应该是其中某封发票的邮件有问题。

指导用户登录Webmail后，简短的进行了一些搜查，果然看到了一封可疑邮件，附件是invoice.zip，打开invoice.zip一看是一封invoice.pdf文件，熟悉的PDF图标非常可爱。查看用户文件夹属性，发现“隐藏已知类型文件”选项是启用的，取消后，发现invoice.pdf多了个wsf的尾巴。好吧，应该就是它了。

Zepto勒索软件沿用了它的先辈Locky家族的血统，使用了RSA-2048非对称加密算法，加密后添加.zepto到所属文件并改名成如下格式。生成_HELP_instructions.html文件修改重置你的桌面为勒索付款通知背景并打开图像阅读器显示勒索通知。

拿到WSF样本后，使用记事本打开，JS脚本已经被加密，

尝试使用几种decode解密失败后，费事麻烦，直接祭出加料的VirtualBox，这里并没有使用Vmware，主要是Lokcy家族使用了RDTSC反虚拟机技术，而这种技术对Vmware的杀伤力太大了，基本百发百中，而VirtualBox相对应而言稍微好了一点点。RDTSC反虚拟技术通过运行一段特定代码，然后比较这段代码在虚拟机和真实主机之中的相对运行时间，以此来判断是否处于虚拟机之中。这段代码我们可以通过RDTSC指令来实现，RDTSC指令是用于将计算机启动以来的CPU运行周期数存放到EDX：EAX里面，其中EDX是高位，而EAX是低位。下面我们以xchg ecx, eax 一句指令的运行时间为例，这段指令在我的真实主机windows 7系统上的运行时间为0000001E，如图6所示：

图6

而该指令在虚拟机WinXP下的运行时间为00000442，如图7所示：

图7

图7

两者之间的运行时间明显差别很多，在虚拟机中的运行速度远不如真实主机的，一般情况下，当它的运行时间大于0xFF时，就可以确定它处于虚拟机之中了，因此不难写出检测程序，具体实现代码可以参考CSDN文章：

测试结果如图8所示：

图8

具体文章可以参考：虚拟机检测技术攻防(http://blog.csdn.net/whatday/article/details/10393325)

下一步我们需要在虚拟机中加载WSF文件，因为之前的WSF文件没有解码，所以我们需要祭起三面大旗，一面是ProcMon，一面是ProcessExplorer，还有一面是WireShark。

载入WSF文件不久后，Process Monitor中就可以看到WSF文件下载payload并创建新的进程执行该程序。

当下载的Payload进程创建开始执行后，立即在ProcessExplorer中Suspend掉它，然后我们就可以悠哉游哉的进行下一步分析了。

习惯的第一时间上传到VirusTotal查看结果，我们大360霍霍在列，扫不到的那种。。。

而“卡巴卡巴死机死机”确实还是比较给力。

既然如此，只能自己再看看了。

去到WireShark，轻松看到GET方法取Payload，IP地址也轻松得到了。

翻回之前打开的WSF文件，可以看到文件尾端有三个HTTP地址，在WSF尝试联系三个服务器后，下载了真正的病毒文件并加载执行。

为了追溯该病毒执行过程，我们回到ProcessExplorer，然后Resume该进程，我们接下来就可以看到该病毒调用了VSS组件，对系统中的VSS备份进行删除。

该病毒做完了坏坏的动作后，开始执行大扫荡计划，

然后开始做羞羞人的动作

做完后果断记得留点种，这点啥不得了啊，4个比特币，按照现在牌价，小20000块了，啧啧，真贵，跟台湾女神有得一拼了。

检查检查数据流，POST方法出来了，PHP的，这是要用菜刀的赶脚吗?

可惜也是加密的，据目测数据上传量不大，所以暂时不考虑数据泄密问题。

通过这次有组织，有计划的行动后，该病毒果断的自杀了，还留下了一封遗书。

总结：

简单的列下该勒索软件所用到的C&C地址，有兴趣的朋友可以去185.129.148.19看看能挖多少东西出来。

后记：

怎么防范勒索软件已经有很多人说了很多次了，这里就不再赘叙了，不过还是简单提下：

1. 使用组策略禁用压缩包中的exe，vbs，js，wsf，bat，cmd等文件的直接执行

2. 如果有条件，可以同样禁止%TEMP%\*.exe和%APPDATA%\*.exe的调用执行，关這条就可以干掉非常多的病毒了，不过执行须谨慎，有可能会阻止正规程序的运行。

3. 任何时候都不要轻易直接双击运行附件中的文件，尤其是奇怪内容的邮件

4. 针对企业用户，启用VSS并降权限至”Power User”，因为”Power User”在病毒执行后无权限去执行VSS Admin的动作，这样就可以在文件被删除后能有恢复的机会

5. 针对企业用户，尽量养成使用文件服务器或者云服务器中的习惯，而不要把文件保存在本地，毕竟正规企业一般都有文件备份服务

注：对于使用Symantec End Point的用户暂时不用担心这个病毒了，只要你的病毒库升级到了15thAug R18就可以了，其他大部分杀毒软件均可以检测到该病毒了。