ERIS勒索病毒变种来袭，被加密的文件暂无法解密

ERIS勒索病毒变种来袭，被加密的文件暂无法解密
2019-08-09 14:56:56 Author: www.4hou.com(查看原文) 阅读量:92 收藏

一、概述

腾讯安全御见威胁情报中心监测到，ERIS勒索病毒变种在国内有部分感染。ERIS勒索变种使用go语言编写，加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币（市值约4000元人民币）。由于该病毒使用RSA+Salsa20对文件进行加密，被加密后的文件暂时无法解密。

ERIS勒索病毒为防止用户利用反删除工具恢复文件，该病毒会调用磁盘擦除工具cipher.exe将病毒完成数据加密后删除的原文件彻底破坏，使用户恢复数据的最后希望彻底破灭，我们提醒政企机构高度警惕，腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病毒。

ERIS勒索病毒首次出现于2019年5月，该勒索家族病毒擅长通过垃圾邮件，LordEK漏洞利用工具传播。该病毒早期加密文件完成后会添加ERIS扩展后缀，ERIS勒索病毒也因此得名。

ERIS勒索病毒加密时会检查并结束SQL、Apache等系统进程；删除系统卷影信息，并禁止Windows进入恢复模式；病毒加密文件时会排除部分文件、文件类型及目录不加密，以免加密时造成系统崩溃。

二、分析

病毒运行后首先会获取本地机器环境信息，包含GUID哈希信息，内存信息，随机生成的5字节加密扩展后缀，系统版本，用户名，地域信息等。

将感染信息上传到指定的接口服务

上传ip地址：198.251.80.48（美国）

Post-Url地址：

Hxxp://evilnnwzczbcbi4edpi4tx3khwbnty3obfhemd5i5gbyci3hxx3k5pad.onion.pet/api/v1/check

病毒运行后首先会生成一对RSA密钥，私钥Base64编码后同获取的本地机器环境信息进行json格式化，格式化后的json信息则使用随机生成密钥的RC4算法加密，RC4密钥被硬编码的RSA公钥进行加密。

将获取到的本地机器信息和Base64编码的私钥信息json格式化。

硬编码RSA公钥。

病毒运行后会在ProgramData目录生成3个文件，00000000.pky中保存了本地生成的RSA公钥信息，00000000.eky中包含了RC4加密后的json格式化信息+被硬编码RSA公钥加密后的RC4密钥信息，00000000.ext文件为生成的随机后缀信息。

文件加密前会遍历当前系统进程，包含以下关键词则将其结束。

sql，backup，malware，server，http，apache，agent

调用CMD执行以下命令行强制结束指定进程，删除系统卷影信息，并禁止Windows进入恢复模式。

taskkill.exe /f /im mysqld.exe

taskkill.exe /f /im sqlwriter.exe

taskkill.exe /f /im sqlserver.exe

taskkill.exe /f /im MSExchange

taskkill.exe /f /im Microsoft.Exchange

vssadmin delete shadows /all /quiet

wmic shadowcopy delete

wbadmin delete catalog -quiet

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

加密过滤以下白名单文件。

autoexec.bat，boot.ini，ntdetect.com，msdos.sys，io.sys，pagefile.sys，ntldr，config.sys，ntuser.dat

白名单目录：

windows，program files

加密时过滤.com，.sys扩展后缀。

加密文件时，会判断文件加密标识（被加密文件末尾被追加字串“_FLAG_ENCRYPTED_”），当文件未被加密，则对每个文件生成单独的salsa20密钥对文件进行加密，文件加密密钥信息则使用0000000.pky内的RSA公钥加密后存放于被加密文件尾部，由于对应的RSA私钥被加密后存放于文件00000000.eky中无法解密，故不缴纳赎金情况被加密文件无法解密恢复。