作者：胖胖秦

预估稿费：300RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

0x0 简述

最近出现了一种名为DeriaLock的新型勒索者木马，在最初版本中，DeriaLock只是一个屏幕锁,在其最新变种中, DeriaLock在屏幕锁的基础上加入了文件加密的功能,被加密的文件后缀为.deria。

从显示的勒索界面上,我们发现DeriaLock要求受害者在有限的24小时支付30美元的赎金,否则被加密的文件会被删除,如果你强行退出DeriaLock,被加密的文件也会被删除。

DeriaLock由.NET4.5编写,通过时间戳,可以知道,最新变种的更新时间为2016年12月26号。

0x1 对抗分析

出于强度的考虑, DeriaLock对关键的函数与变量进行了混淆。

对引用到的字符串进行了加密

经过分析与反混淆后,DeriaLock由以下5个类组成: 

Decrypt:解密文件

Encrypt:加密文件

KillProc:结束进程

Main:程序入口点

ShowFile:显示被加密文件

0x2 锁屏分析

在Main的FormLoad函数中, DeriaLock会创建多个计时器,调用KillProcess类的方法对系统进程进行枚举并结束指定列表的进程。

定时器方法:

定时器的时间间隔是1ms,所以在配置差的电脑上会略显卡顿。

由上可知,DeriaLock在结束explorer.exe进行锁屏之后还对许多系统配置进程与进程管理软件进行了监控，阻止受害者恢复锁屏。

0x3 加密分析

在加密之前, DeriaLock会计算本机特征码,以确保测试时自己的电脑不被加密。

不同于其他勒索木马只加密特定后缀的文件,DeriaLock会对指定目录下的所有文件进行加密。

C:UsersUserNameDocuments
C:UsersUserNameMusic
C:UsersUserNamePictures
C:UsersUserNameDownloads
C:UsersUserNameDesktop
D:

DeriaLock使用标准的AES256算法对文件进行加密

KEY和IV向量都是由一个固定的字符串经过SHA512计算生成。

0x4 解密分析

有意思的一点是, DeriaLock在服务器上拥有一个全局的解锁指令,在Main初始时会创建一个定时器,而这个定时器的作用就是轮询这个指令,如果指令为1，所有被锁屏的电脑都会解锁

值得注意的是,解锁指令只是删除自启动,并创建explorer.exe,同时退出自身,被加密过的文件并不会得到解密。

当你支付赎金之后, DeriaLock会在服务器上添加一个ID.txt文件,其中ID是你的特征码,里面保存着密码,密码与你输入的密码进行比对,正确的话就调用DeCrypt类对文件进行解密。

以上是正常的解密流程,如果你不幸被DeriaLock加密了,也不用担心, DeriaLock是可解的。

通过之前的分析我们可以得知DeriaLock使用AES256对文件进行加密,并且KEY和IV都是唯一的,现在让我们再看看KEY的生成过程.

IV的生成过程和KEY的是一样的，唯一不同的长度,所以我们完全可以自己写一个解密程序对程序进行解密。

在加密文件时, DeriaLock会连接远程服务器更新其最新版本的,并写入自启。

所以我们可以 强制关闭计算机,同时挂上WINPE盘,在启动盘里运行我们的解密工具,对文件进行解密。

0x5结论

由于DeriaLock刚出现不久,加密的强度和广度还不够,对于专业的安全人员来说,可以实现自解密,但对于广大的普通用户来说,保持良好的上网习惯和安装杀毒软件还是有一定必要性的。