信息來源：FreeBuf

概述

勒索圈有個任性的病毒家族Satan，無論比特幣價格如何波動，解密要價都是1 BTC。此次，趁著比特幣價格回暖，Satan勒索病毒推出了最新的變種，通過勒索提示信息，可以發(fā)現(xiàn)該變種實現(xiàn)了更完整的國產(chǎn)化，作者會提示用戶通過火幣網(wǎng)購買比特幣，或者安裝lantern在LocalBitcoins上進行購買，通過這些跡象猜測，Satan團伙中可能加入了某些中國黑客。

被加密的文件后綴為[密鑰].session。

病毒母體為c.exe，文件編譯的時間為11月3號。

勒索追蹤

病毒運行后，通過抓包發(fā)現(xiàn)，它會與C&C服務(wù)器111.90.159.105進行通信，上傳加密文件信息、主機信息、病毒運行狀態(tài)信息。

對該IP進行追蹤，發(fā)現(xiàn)該C&C服務(wù)器來自于馬來西亞。

谷歌地圖定位到，這是吉隆坡一個叫Jalan Perdana的地方。

通過以上信息，我們判斷這個C&C服務(wù)器極有可能只是黑客一個拿來中轉(zhuǎn)的肉雞，黑客真正的藏身地并不在此。

勒索分析

病毒母體c.exe運行后，會先自克隆一份到C盤根目錄，然后釋放運行勒索病毒cpt.exe，密碼竊取工具mmkt.exe，以及blue.exe、star.exe等永恒之藍攻擊套件。

這些攻擊組件釋放在Program Data/和All Users/目錄下。

傳播過程，首先病毒會使用Mimikatz竊取用戶憑據(jù)（這里作者編碼的mmkt.exe運行出錯了，所以沒有竊取到憑據(jù)），然后調(diào)用WMIC遠程下載執(zhí)行病毒母體，實現(xiàn)橫向傳播勒索病毒。

若上述憑證竊取的方法登陸失敗，則利用永恒之藍、雙脈沖星漏洞進行橫向傳播。

在代碼還發(fā)現(xiàn)了泛微OA的漏洞利用代碼。

添加注冊表自啟動項Win0Start，實現(xiàn)開機自動運行勒索病毒cpt.exe。

結(jié)尾

隨著大部分企業(yè)終端都打上了MS17-010補丁，病毒使用永恒之藍漏洞進行傳播的成功率大大下降，但慢慢的，病毒都開始采用mimikatz憑證竊取的方式進行橫向移動，只要一臺病毒感染了一臺內(nèi)網(wǎng)主機，就能繼續(xù)傳播到另一臺密碼相同的主機，所以，建議大家，內(nèi)網(wǎng)終端盡量不要設(shè)置相同的密碼，避免一個終端中毒，導(dǎo)致全網(wǎng)癱瘓