警惕! ImmortalLock（不死锁）勒索病毒锁死企业系统

近日，腾讯安全应急响应中心接到企业求助，因内网感染勒索病毒而导致业务系统瘫痪停摆。经腾讯安全专家现场勘察分析发现，破坏网络的为新型勒索病毒，编译时间为2019年3月中旬。根据病毒留下的勒索说明信息，作者自称“ImmortalLock(不死锁)”勒索病毒。

某企业中招反馈

病毒编译时间戳为3月中旬

进一步分析发现，该病毒从代码相似度上疑为Scarab变种，而病毒加密后缀白名单单独过滤.hrm的行为，推测与HRM勒索病毒家族存在某种关联，由于病毒使用了RSA+AES的加密方式，暂时没有解密方案。建议各政企机构提高警惕，防止受到病毒攻击。

ImmortalLock(不死锁)勒索病毒在加密过程中，会尝试结束其他正在运行的程序进程，以免这些软件占用那些即将被加密的文件。病毒作者疑似来源于俄语国家，该病毒的加密破坏会避开俄罗斯、白俄罗斯、乌克兰等国，病毒还会加密局域网中具有写权限的共享文件。

腾讯电脑管家及腾讯御点终端安全管理系统均可查杀，腾讯安全专家建议用户时刻开启杀毒软件的保护功能，避免企业网络成为勒索病毒的牺牲品。

电脑管家拦截到ImmortalLock(不死锁)勒索病毒

病毒分析

    ImmortalLock(不死锁)病毒使用C++（外壳）结合Delphi（payload）开发，运行后通过在内存中解密出勒索payload执行，加密文件过程会创建线程不断尝试结束任务管理类，安全软件类，命令管理类，游戏类，数据管理类等大量进程。病毒作者疑似俄语系，加密会避开0x7（俄罗斯），0x177（白俄罗斯）,0x17C（乌克兰），加密时对白名单后缀.hrm单独放行，加密文件完成对文件添加.IMRTL的扩展后缀，并留下名为HOW TO RECOVER ENCRYPTED FILES.TXT的勒索说明文档。

该病毒通过在内存中动态解密出勒索payload执行

观察payload可知使用Delphi7编写，而外壳程序使用C++

分析payload可知，该病毒所用到的字符串均在内存中动态解密使用。病毒会首先在内存中解密出勒索说明文档信息，加密后缀等信息，以备后续使用

随后获取本地系统 LOCALE_ICOUNTRY （国家代号），避开0x7（俄罗斯），0x177（白俄罗斯）,0x17C（乌克兰）

拷贝自身副本到Roaming目录，且命令行调用mshta创建一个名为jsyuYuqSLK的启动项

病毒创建线程尝试循环结束大量进程，通过内部解密出的进程列表可知其中包含了任务管理类，安全软件类，命令管理类，游戏类，数据管理类等。

而此时当用户感觉到病毒加密文件带来的机器卡顿异常，尝试操作打开任务管理器时，任务管理器也会被结束马上退出。

taskmgr.exe--ccleaner.exe--ccleaner64.exe--regedit.exe--anvir.exe--anvir64.exe--cscript.exe--wscript.exe--powershell.exe--procexp.exe--far.exe--agntsvc.exe--agntsvc.exeagntsvc.exe--agntsvc.exeencsvc.exe--agntsvc.exeisqlplussvc.exe--dbeng50.exe--dbsnmp.exe--excel.exe--firefoxconfig.exe--infopath.exe--isqlplussvc.exe--msaccess.exe--msftesql.exe--mspub.exe--mydesktopqos.exe--mydesktopservice.exe--mysqld.exe--mysqld-nt.exe--mysqld-opt.exe--ncsvc.exe--ocautoupds.exe--ocomm.exe--ocssd.exe--onenote.exe--oracle.exe--outlook.exe--powerpnt.exe--sqbcoreservice.exe--sqlagent.exe--sqlbrowser.exe--sqlserver.exe--sqlservr.exe--sqlwriter.exe--steam.exe--synctime.exe--tbirdconfig.exe--thebat.exe--thebat64.exe--thunderbird.exe--visio.exe--winword.exe--wordpad.exe--xfssvccon.exe

文件加密时，会使用随机生成的0x10字节数据作为初始化异或加密Key，先使用异或加密0x10文件大小后，再使用AES对数据进行二次加密。最终加密后文件内容将再次作为下一轮加密时的异或Key循环执行。

文件加密密钥信息使用RSA算法加密后附加到文件末尾，最终修改文件时间戳属性等信息完成加密过程

文件末尾保存加密后的附加数据

该病毒同样会加密局域网内共享资源

运行结束后调用mshta自删除

分析过程中，发现该病毒后缀白名单过滤除自身加密扩展后缀外，仅放行.hrm后缀（HRM勒索病毒加密文件的后辍），这一点异常奇怪。HRM勒索病毒也是一个老牌勒索家族，首次出现于2017年，加密文件使用扩展后缀.hrm。而分析该病毒部分行为，使用字符串，从代码相似度上看更像是Scarab变种。

推测HRM，Scarab，ImmortalLock这三个勒索病毒之间或存在某种关联。

可参考：HRM勒索病毒预警 企业用户须小心钓鱼邮件和RDP爆破攻击

https://mp.weixin.qq.com/s/_KJZx7gZKA6JZSv8jiHJLg

测试该病毒会尝试加密系统中常见的各类型后缀（非病毒使用）和非Windows目录下文件，加密完成后添加扩展后缀为：IMRTL，中毒电脑上不光用户数据文件被加密，除Windows目录之外的软件几乎都无法运行，表明该病毒的破坏性更强。

勒索说明文档并无直接要求说明勒索赎金金额，需要进一步邮箱联系获取解密方案。

IOCs

MD5:

5f2be407aa30285784f35af8cf54c151

安全建议

企业用户：

1、 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户：

1、 开启腾讯电脑管家，拦截可能的病毒攻击；

2、 打开文档守护者功能，利用磁盘冗余空间备份数据，万一遭遇病毒破坏，尚有机会完全恢复文档。

参考资料：

小心image字眼照片压缩包有“毒”

https://guanjia.qq.com/news/n3/2221.html

HRM勒索病毒预警 企业用户须小心钓鱼邮件和RDP爆破攻击

https://mp.weixin.qq.com/s/_KJZx7gZKA6JZSv8jiHJLg