【51CTO.com快譯】自2016年下半年開始，利用希特勒照片來要求現(xiàn)金代碼(Cash Code)的勒索軟件開始出現(xiàn)，攻擊者利用希特勒的惡名來刺激被感染用戶的心理，但經(jīng)過對該惡意代碼的研究發(fā)現(xiàn)，該惡意代碼尚處于開發(fā)初期階段，目前發(fā)現(xiàn)的受害案件數(shù)量暫時不多，但據(jù)預(yù)測該勒索軟件有可能如其他勒索軟件一般進化升級并擴大其影響力和破壞力，因此明確掌握其惡意代碼特征與預(yù)防方法是極有必要的。

惡性文件分析

◆流程圖

希特勒勒索軟件首先散布ExtraTools.exe文件，執(zhí)行時又會生成其他惡性文件并執(zhí)行。

??

希特勒惡意代碼的安裝流程圖

◆詳細分析

- ExtraTools.exe文件分析

ExtraTools.exe包含4個文件，執(zhí)行時它被放到temp文件夾中，執(zhí)行bat文件后，其他放入的文件會按順序執(zhí)行。

??

在temp文件夾中放入文件

- ExtraTools.bat文件分析

觀察其內(nèi)部的腳本就會發(fā)現(xiàn)如下的多種行為。

??

bat文件的內(nèi)部腳本

簡單整理可以總結(jié)為如下4種行為：

① 執(zhí)行ErOne.vbs文件，雖會出現(xiàn)Error信息，但沒有其他特別的行為;

② 將firefox32.exe文件復(fù)制到Startup文件夾，在Windows系統(tǒng)開始時實行;

③ 執(zhí)行chrst.exe文件并彈出希特勒警告窗口;

④ 將特定文件夾的所有文件的擴展名刪除。

- chrst.exe文件分析

該文件負責UI(用戶界面)，即彈出警告窗告知用戶所有的文件都被加密，若想復(fù)原文件，必須在1小時以內(nèi)購買Vodafone卡并交出現(xiàn)金代碼(Cash Code)，并且會同時監(jiān)視其他程序，如以下程序被執(zhí)行則會立刻使其終止。

??

如超過了限制時間，則會找到csrss進程并強制結(jié)束。因為csrss負責大部分Win32控制臺和GUI(圖形用戶界面)，所以該進程被強制結(jié)束便意味著PC非正常性的強制終止。

??

利用csrss進程非正常終止PC運行

- firefox32.exe文件分析

據(jù)推測，該文件是為了刪除自身的痕跡制作而成，運行時，temp文件夾中被放入bat文件并執(zhí)行。

[圖6]temp文件夾內(nèi)放入bat文件

觀察bat文件的話會發(fā)現(xiàn)，%userprofile%(用戶文件夾)下面的所有文件都已被刪除。

??

bat文件的內(nèi)部腳本

1小時內(nèi)如果不發(fā)送現(xiàn)金代碼的話，%userprofile%內(nèi)的全部文件將會在計算機強制再啟動的過程中被全部刪除。

◆采取措施

如果用戶感染了該勒索軟件并在PC上彈出了希特勒警告窗口，用戶需要在PC強制被終止后進入安全模式。為了阻止firefox.exe文件的啟動，用戶需要刪除自動啟動注冊表項目和該文件，這樣做可以防止%userprofile%內(nèi)文件的損失。

結(jié)論

分析希特勒勒索軟件可以發(fā)現(xiàn)該勒索軟件的一些破綻，首先雖然它向用戶彈出文件被加密的信息，但其實文件只是被刪除掉擴展名而非真正的加密;其次根據(jù)環(huán)境的不同，彈出警告窗口有可能尺寸不合適而無法正常顯示;再次，Vodafone的現(xiàn)金代碼也只有一些特定的國家才可以實現(xiàn)該支付手段。

但是如果確認bat文件內(nèi)的腳本會發(fā)現(xiàn)攻擊者標注了‘Das ist ein Test …..’(This is a Test)的字樣，表示這只是一個測試版本，未來有可能會升級并再次出現(xiàn)。通過軟件升級再次出現(xiàn)的事例也有很多，如Cerber和Locky等，因此今后需要密切關(guān)注勒索軟件希特勒的動向并引起警惕。

【原標題】[???? ?????] "???" ????(作者：??)

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】