0x0概述

近年来，老式勒索病毒依旧活跃，而新型勒索病毒花样百出，深信服安全云脑就捕获到一款具有“地方特色”的勒索病毒，其加密后缀为.beijing。

该病毒会使加密指定后缀文件，在系统盘加密用户目录下的文件，并生成勒索提示文档（!RECOVER.txt），要求用户通过邮箱联系黑客，使用比特币支付赎金来解密个人文件。

0x1详细分析

该样本使用UPX加壳，编译时间为2019年9月10日，使用C++编写；

大量函数调用使用动态计算的地址，以阻止对文件进行逆向分析；

使用LoadLibrary、GetProcAddress加载kernel32、advapi32等DLL及部分函数；

从自身读取数据：

配置文件使用了protobuf序列化；

包含大量加密文件后缀：

生成用户Personal ID及Hash值，Personal ID随机生成并使用base 64加密；

在文件目录下创建勒索提示文档!RECOVER.txt及__lock_XXX__文件；

勒索提示文档：

遍历目录下所有文件；

打开待加密文件；

重命名为*.beijing。

使用AES算法加密：

文件末尾写入二次加密后的AES密钥；

完成加密后自删除。

0x2 IOC

MD5：9ed1bc466b3a1f1844f50791c16a77c1

0x3 加固建议

1. 使用高强度的主机密码，并避免多台设备使用相同密码，不要对外网直接映射3389等端口，防止暴力破解；
2. 避免打开来历不明的邮件、链接和网址附件等，尽量不要在非官方渠道下载非正版的应用软件，发现文件类型与图标不相符时应先使用安全软件对文件进行查杀；
3. 定期使用安全软件进行全盘扫描和处置，定期检测系统漏洞并且进行补丁修复。