对AvosLocker勒索软件的深入剖析

皇冠登1登2登3

（www.9cx.net）实时更新发布最新最快最有效的登1登2登3代理网址,包括新2登1登2登3代理手机网址,新2登1登2登3代理备用网址,皇冠登1登2登3代「dai」理最新网址,新2登1登2登3代理足球网址,新2网址大全。

,

最近，Cyble研究实验室遇到了一‘yi’个名为AvosLocker的新勒索软件组织。我们在之前的博客中先容了这个新勒索软件组的主要功效。它是一种恶意可执行文件，通过熏染Windows盘算机对受害者的文{wen}档文件举行加密并要求赎金，这是它勒索程序的一部门。Cyble的研究职员发现，AvosLocker勒索软件小组使用了种种庞大的手艺来开发勒索软件。

在图1中，Cyble研究职员展示了AvosLocker勒索软件的完整执行流程。

图1 AvosLocker勒索软件的执行流程

手艺剖析

我《wo》们从静态剖析入手，可以发现该勒索软件是一个基于x86架构的控制台应用程序，使用C/C++编程语言开发，近期编译于“2021-07-06 02:57:44”，如图2所示。

图2静态可移「yi」植可执行文件（PE）详细信息

在执行勒索软件可执行文件后，将会在每个目录中确立一个名为“GET_YOUR_FILES_BACK.txt”的赎金条。该赎金条指示受害者接见『jian』“hxxp:xxavos2fuj6olp6x36[.]onion”网站，领会有关赎金金额和支付方式的详细信息，如图3所示。

图3 AvosLocker赎金说明

如图4所示，一旦确立了赎金条，勒索软件就会加密用户的文档文件并在其上附加“.avos”扩展名。

图4 “.avos”附加在加密文件扩展名上

勒索软件还会对「dui」网络共享驱动器举行加密，如图5所示。

图5 加密共享驱动器

代码剖析

Cyble研究实验室从代码剖析最先其观察。

最初，勒索软件会确立一个名‘ming’为“ievah8eVki3Ho4oo”的互斥锁，以确保在受害操作系统（操作系统）中一次只有一个历程在运行，如图6所示。

图6 使用名称“ievah8eVki3Ho4oo”确立的互斥锁 

恶意软件天生一个密钥，可用于使用AES-256算法加密文档文件，如图7所示。

图7 加密API

天生密钥后，恶意软件会实验使用应用程序编程接口（API）枚举网络共享，用于对其举行〖xing〗加密，列出网络共享的代码，如图8所示。

◼WNetOpenEnumA

◼WNetEnumResourceA

◼WNetAddConnection2A

◼WNetCloseEnum

图8 枚举网络共享的代码

此外，勒索软件会遍历所有逻辑驱动器，并在每个目录中确立赎金条名称“GET_YOUR_FILES_BACK.txt”。我们可【ke】以在图9中看到相同的内容。 

新2会员手机管理端

新2会员手机管理端（www.22223388.com）实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2会员手机管理端、新2手机版登录网址“zhi”、新2皇冠登录网址。

图9 AvosLocker写制赎金条

确立赎金纪录后，勒〖le〗索软件搜索所有具有扩展名的文件，如图10所‘suo’示。

图10 AvosLocker的目的文件扩展名

一旦勒索‘suo’软件找到具有界说扩展名的文件（如图10所示），它就会使用“重启治理器”手艺（如图11所示）来检查勒索软件试图加密的文件是否正在被任何正在运行的历程使用。若是文件当前正被另一个历程接见，勒索软件会终止该历程并继续举行内容加密。

图11 Windows API（应用程序编程接口）挪用Restart Manager手艺

勒索软件读取文件的内容，对其举行加密，然后将内容写『xie』入具有唯一署名的加密文件中。该署名用于标识文件是否加密，如图12所示。

图12 加密文件内容{rong}中附加的署名

一旦内容加密后，AvosLocker勒索软件就会使用“MoveFileW”API将其附加上“.avos”扩展名，如图13所示。

图13 将“.avos”扩 kuo[展名附加《jia》到加密文件

我们的研究解释，勒索软件使用下面列出的DLL举行规避。勒索软件并没有仅仅依赖Win32 API，而是使用界说的VC++库来开发AvosLocker勒索软件。

 Eapi-ms-win-core-datetime-l1-1-1

 api-ms-win-core-file-l1-2-2

 api-ms-win-core-localization-l1-2-1

 api-ms-win-core-localization-obsolete-l1-2-0

 api-ms-win-core-processthreads-l1-1-2

 api-ms-win-core-string-l1-1-0

 api-ms-win-core-sysinfo-l1-2-1

 api-ms-win-core-winrt-l1-1-0

 api-ms-win-core-xstate-l2-1-0

 api-ms-win-security-systemfunctions-l1-1-0

 ext-ms-win-ntuser-dialogbox-l1-1-0

 ext-ms-win-ntuser-windowstation-l1-1-0

 api-ms-win-appmodel-runtime-l1-1-2 

自2021年7月以来，AvosLocker勒索软件组织一直在起劲针对种种组织 zhi[和政府机构。

结论

我们的研究解释，AvosLocker是作为基于“控制台”的应用程序确立“li”的。随着时间（jian）的推移，勒索软件组织背后的网络犯罪分子会不停添加新代码，以使用新的战略、手艺和程序（TTP）连续生长他们的勒索软件即服务（RaaS）服务。我们以为，AvosLocker勒索软件即将推出被进一步增强的变体形式。

我们一直在监视AvosLocker的勒索流动，并会在我们发现最新新闻的第一时间向我们的读者举行提供。

我们的建议

我们列出了一些基本的网络平『ping』安最佳实践，它们确立了针对攻击者的第一道控制线。我们『men』建议读者遵照下面给出的这些建议：

 尽可能使用强密码并强制执行多因素身份验证。

 尽可能在您的盘算机、移动装备和其他毗邻的装备上启用软件自动更新功效。 

 在您毗邻的装备（包罗PC、条记本电脑和移动装备）上使用着名的防病毒和Internet平安软件包。

 阻止在未验证真实性的情形下打开不受信托的链接和电子邮件附【fu】件。

 执行定期备份操作，并将这些备份保持离线或保持在单独的网络中。

本文翻译自：https://blog.cyble.com/2021/07/23/deep-dive-analysis-avoslocker-ransomware/