产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

LaoXinWon携带两个勒索病毒样本，重复加密或增加解密难度

2020-08-05 10:53:13

腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。

一、概述

腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。两款病毒均无法解密，重复加密更是增加了解密难度。腾讯安全专家提醒企业注意防范，腾讯T-Sec终端安全管理系统与腾讯电脑管家均可查杀拦截此病毒。

攻击者同时携带了内网共享资源探测工具和进程对抗工具，在加密完成之后，还会清空系统日志，以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱LaoXinWon@protonmail.com购买解密工具。

在勒索病毒攻击加密范围不断扩大，加密方式越发变态的勒索攻击现状下，攻击者携带两款勒索模块可避免单一病毒易被安全策略拦截的风险。同时，攻击者存在重复使用2款勒索病毒对受害者文件进行重复加密的情况，进一步增加了文件解密恢复的难度，受害用户即使支付赎金也可能难以挽回损失。腾讯安全系列产品已全面支持检测、拦截LaoxinWon投放的勒索病毒攻击，详细清单如下：

应用场景

安全产品

解决方案

威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）LaoXinWon勒索相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）LaoXinWon勒索相关信息和情报已支持检索。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于网络流量进行威胁检测与主动拦截，已支持：

1）LaoXinWon勒索网络相关联的IOCs已支持识别检测；

2）支持检测拦截LaoXinWon发起的爆破攻击行为。

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 主机安全

（Cloud Workload Protection，CWP）

1）云镜已支持查杀LaoXinWon相关联的利用模块，勒索模块

2）云镜已支持检测拦截LaoXinWon发起的爆破攻击行为

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御界）

基于网络流量进行威胁检测，已支持：

1）LaoXinWon相关联的IOCs已支持识别检测；

2）LaoXinWon发起的爆破攻击行为已支持检测；

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统（御点）

1）企业终端管理系统可查杀LaoXinWon相关联的利用模块，勒索模块；

2）企业终端管理系统已支持检测拦截恶意爆破攻击行为。

3）企业终端管理系统可对系统内高危漏洞进行一键修复

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

二、样本分析

腾讯安全威胁情报中心对受害电脑进行溯源分析，发现攻击者主要携带了以下5个功能模块，其中包含了2个勒索加密病毒，分别由C#和Delphi编写。1个日志清理工具，1个进程管理工具，1个局域网探测工具。

其中Lao.exe为勒索模块，该模块由C#编写，运行后会探测局域网内其它共享资源路径，同时获取本地磁盘分区根路径，以便后续对这些位置的资源进行加密。

病毒加密前会排除一些非系统数据类型格式的文件类型，添加.AES加密扩展后缀。

对文件内容的加密过程使用AES算法，AES密钥使用强随机的方式生成。

文件内容加密完成后，AES密钥信息则会使用硬编码的RSA 2048进一步进行加密，后存放于文件尾部，硬编码RSA公钥信息如下：

文件加密完成后被添加.aes扩展后缀，留下勒索信要求联系指定邮箱LaoXinWon@protonmail.com购买解密工具。

laoxinwon.exe同样是一个由Delphi编写的勒索加密模块，运行后首先从内存中解压出大量要使用的勒索关键明文字串（硬编码公钥，加密后缀，勒索信等）信息，经分析研判确认为Scarab勒索家族系列。

今年5月份，腾讯安全威胁情报中心发现国内Scarab勒索家族cov19变种活跃，该家族同样使用较复杂的RSA+AES的加密流程，细节流程如下，该家族同样无法解密。

详细分析报告可参考：《加密文件增加.Cov19扩展名，FushenKingdee勒索病毒正在活跃》

Scarab勒索家族的最新变种同此前分析过的cov19系列勒索一样，会同时加密文件名和文件内容，添加加密扩展后缀.lampar，勒索者的留下的勒索信件联系邮箱依然为LaoXinWon@protonmail.com，同前C#版本的勒索病毒购买联系人信息一致。

同时攻击者还携带了NetworkShare_pre2.exe，该恶意文件的目的为扫描探测内网可攻击的共享资源，proc.exe则为Process Hacker 安装包，主要用于失陷机器内进程上的安全对抗。

CleanExit.exe主要功能为清理Windows系统日志，攻击者在加密攻击完成后，通常会使用该工具清理系统日志，以隐藏其失陷机器的入侵痕迹。在以往发现的真实案例中，我们也看到内网失陷机作为攻击中转机频繁扫描其它内网资产的过程中，攻击者会使用定时任务的形式不断执行系统日志清理程序，从而隐藏其攻击痕迹。