勒索軟件新變種KeyPass正在全球積極傳播

卡巴斯基研究人員最近幾天通過反勒索軟件模塊檢測到惡意軟件的新變種KeyPass勒索軟件，傳播方式為下載勒索軟件模塊的虛假安裝程序，并在8月份開始積極傳播。研究人員對監測到的事例分析看出，KeyPass程序用C++編寫，并在MS Visual Studio中編譯，使用庫MFC、Boost和Crypto++進行開發。PE報頭包含最近的編譯日期8月7日。當在受害者的計算機上啟動時，KeyPass將其可執行文件復制到%LocalAppData%并啟動，然后將原始位置文件刪除。之后KeyPass將衍生自己進程的多個副本，并將加密密鑰和受害者ID作為命令行參數傳遞。KeyPass從受感染計算機可枚舉訪問本地驅動器和網絡共享，并搜索所有文件，它會跳過多個目錄中的文件，其路徑被硬編碼到樣本中。在已處理的目錄中，保存擴展名為.KEYPASS機密文件和勒索贖金說明!!!KEYPASS_DECRYPTION_INFO!!!.txt。KeyPass開發人員在CFB模式下，使用帶有zero IV 和相同的32字節密鑰的對稱算法AES-256的簡單方案對所有文件進行加密，啟動后，KeyPass連接到C＆C服務器，并接收當前受害者的加密密鑰和感染ID，數據以JSON的形式通過純HTTP傳輸。如果C＆C無法訪問，使用硬編碼密鑰和ID進行離線加密，此時對受害者文件進行解密將是不重要的。研究人員稱KeyPass木馬包含一個默認隱藏的表單，按下鍵盤上的特殊按鈕后可以顯示該表單，此功能表明該木馬可以采用手動控制。

國家計算機病毒應急處理中心建議廣大計算機用戶加強安全防范意識，做好日常備份（最好是異地備份），不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件，保持開啟殺毒軟件實時監控功能，并持續關注我中心網站上關于勒索軟件的有關資訊。

以上資訊由北京安天公司提供，國家計算機病毒應急處理中心研發部編譯整理