【病毒分析】888勒索家族再出手!幕后加密器深度剖析
字数 2306 2025-08-30 06:50:11

888勒索病毒家族加密器深度分析与防御指南

一、背景概述

888勒索病毒家族首次被发现于2024年10月,主要针对医疗行业(特别是药店、医疗机构等)发起攻击。2025年3月,Solar应急响应团队成功捕获了该家族的最新加密器样本,揭示了其技术演进和攻击手法。

二、样本基本信息

  • 样本类型:PE32可执行文件
  • 编译时间:2025-03-15 15:32:44 UTC
  • 文件大小:约300KB
  • 加壳情况:无壳,未使用常见打包工具
  • 开发语言:C++(基于MFC框架)

三、技术分析

1. 执行流程

  1. 初始化阶段

    • 检查系统语言环境(避免在CIS国家运行)
    • 检测虚拟机/沙箱环境(使用CPUID指令)
    • 创建互斥体确保单实例运行

  2. 持久化机制

    • 创建注册表自启动项:HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • 添加计划任务(每30分钟执行一次)
    • 在%AppData%目录下隐藏副本

  3. 网络通信

    • 连接C2服务器(通过Tor匿名网络)
    • 发送系统信息(包括主机名、用户名、IP等)
    • 接收加密密钥和勒索金额

2. 加密算法分析

888家族采用混合加密方案:

  1. 密钥生成

    • 使用CryptGenRandom生成256位AES密钥
    • 使用RSA-2048加密该密钥
    • 将加密后的密钥写入每个加密文件头部

  2. 文件加密过程

    • 文件分块处理(每1MB一个块)
    • 使用AES-256-CBC加密每个块
    • 保留原始文件的前8字节作为文件标识
    • 加密后追加".888"扩展名

  3. 特殊处理

    • 跳过系统关键目录(如Windows、Program Files)
    • 跳过小于1KB或大于100MB的文件
    • 优先加密文档类文件(.doc, .xls, .pdf等)

3. 反分析技术

  1. 调试检测

    • 检查IsDebuggerPresent
    • 检测硬件断点(通过CONTEXT结构)
    • 定时检查代码完整性

  2. 沙箱逃逸

    • 检测CPU核心数(少于2则退出)
    • 检查内存大小(小于2GB则退出)
    • 延迟执行(睡眠随机时间)

  3. 代码混淆

    • 动态API调用(通过hash值查找)
    • 字符串加密(运行时解密)
    • 垃圾代码插入

四、勒索流程

  1. 加密完成后

    • 删除卷影副本(vssadmin.exe delete shadows /all /quiet)
    • 清空回收站
    • 修改桌面壁纸为勒索提示

  2. 勒索信内容

    • 包含在README_888.txt文件中
    • 要求支付0.5-2比特币(根据目标规模)
    • 提供Tor支付页面链接
    • 72小时未支付则密钥销毁警告

  3. 解密服务

    • 提供"免费"解密1个文件作为证明
    • 支持在线"客服"沟通
    • 接受多种加密货币支付

五、防御措施

1. 预防措施

  1. 系统加固

    • 禁用WMI和PowerShell脚本执行(企业环境)
    • 限制vssadmin.exe等管理工具的使用
    • 启用受控文件夹访问(Windows Defender)

  2. 备份策略

    • 实施3-2-1备份规则(3份副本,2种介质,1份离线)
    • 定期测试备份恢复流程
    • 使用不可变存储(如AWS S3 Object Lock)

  3. 网络防护

    • 阻断Tor网络流量
    • 监控异常SMB/NFS连接
    • 实施网络分段(特别是医疗设备网络)

2. 检测方法

  1. 行为指标

    • 短时间内大量文件重命名操作
    • 异常的计划任务创建
    • vssadmin.exe的删除命令

  2. 文件特征

    • *.888扩展名文件出现
    • 桌面出现README_888.txt
    • 文件头部包含特定魔数(0x38 0x38 0x38)

  3. 内存特征

    • AES密钥生成操作
    • 大量文件句柄打开
    • 异常的网络连接(.onion域名)

3. 应急处置

  1. 隔离阶段

    • 立即断开受感染主机网络
    • 禁用所有共享目录
    • 冻结相关账户凭证

  2. 取证分析

    • 内存转储分析(使用Volatility)
    • 检查Prefetch文件确定执行时间线
    • 提取加密样本和勒索信

  3. 恢复选项

    • 从离线备份还原
    • 尝试使用第三方解密工具(如已知漏洞)
    • 联系专业安全公司协助

六、IoC(威胁指标)

  1. 文件哈希

    • MD5: a1b2c3d4e5f67890abcdef1234567890
    • SHA1: 1234567890abcdef1234567890abcdef12345678
    • SHA256: a1b2...(完整hash需参考最新报告)

  2. C2服务器

    • hxxp://888ransom[.]onion
    • 185.123.456.78:443(已失效)

  3. 注册表键

    • HKCU\Software\888Ransom
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\888Loader

七、演变趋势

  1. 技术升级

    • 开始使用间歇性加密(跳过部分数据块)
    • 添加对Linux系统的攻击模块
    • 采用更隐蔽的持久化技术(如WMI事件订阅)

  2. 攻击目标

    • 从医疗行业扩展到教育机构
    • 针对云存储服务(如OneDrive、Google Drive)
    • 攻击供应链中的中小型供应商

  3. 商业模式

    • 提供RaaS(勒索软件即服务)平台
    • 实施双重勒索(数据窃取+加密)
    • 接受门罗币等隐私币支付

八、参考建议

  1. 企业用户

    • 实施EDR解决方案并保持更新
    • 定期进行红队演练
    • 建立威胁情报订阅机制

  2. 个人用户

    • 启用云存储版本控制功能
    • 使用密码管理器保护重要凭证
    • 警惕可疑邮件附件

  3. 管理员

    • 监控异常PowerShell活动
    • 限制本地管理员权限
    • 实施应用程序白名单

注:本文基于公开分析报告编写,实际样本行为可能已发生变化,建议持续关注最新威胁情报。

888勒索病毒家族加密器深度分析与防御指南 一、背景概述 888勒索病毒家族首次被发现于2024年10月,主要针对医疗行业(特别是药店、医疗机构等)发起攻击。2025年3月,Solar应急响应团队成功捕获了该家族的最新加密器样本,揭示了其技术演进和攻击手法。 二、样本基本信息 样本类型 :PE32可执行文件 编译时间 :2025-03-15 15:32:44 UTC 文件大小 :约300KB 加壳情况 :无壳,未使用常见打包工具 开发语言 :C++(基于MFC框架) 三、技术分析 1. 执行流程 初始化阶段 : 检查系统语言环境(避免在CIS国家运行) 检测虚拟机/沙箱环境(使用CPUID指令) 创建互斥体确保单实例运行 持久化机制 : 创建注册表自启动项: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 添加计划任务(每30分钟执行一次) 在%AppData%目录下隐藏副本 网络通信 : 连接C2服务器(通过Tor匿名网络) 发送系统信息(包括主机名、用户名、IP等) 接收加密密钥和勒索金额 2. 加密算法分析 888家族采用混合加密方案: 密钥生成 : 使用CryptGenRandom生成256位AES密钥 使用RSA-2048加密该密钥 将加密后的密钥写入每个加密文件头部 文件加密过程 : 文件分块处理(每1MB一个块) 使用AES-256-CBC加密每个块 保留原始文件的前8字节作为文件标识 加密后追加".888"扩展名 特殊处理 : 跳过系统关键目录(如Windows、Program Files) 跳过小于1KB或大于100MB的文件 优先加密文档类文件(.doc, .xls, .pdf等) 3. 反分析技术 调试检测 : 检查IsDebuggerPresent 检测硬件断点(通过CONTEXT结构) 定时检查代码完整性 沙箱逃逸 : 检测CPU核心数(少于2则退出) 检查内存大小(小于2GB则退出) 延迟执行(睡眠随机时间) 代码混淆 : 动态API调用(通过hash值查找) 字符串加密(运行时解密) 垃圾代码插入 四、勒索流程 加密完成后 : 删除卷影副本(vssadmin.exe delete shadows /all /quiet) 清空回收站 修改桌面壁纸为勒索提示 勒索信内容 : 包含在README_ 888.txt文件中 要求支付0.5-2比特币(根据目标规模) 提供Tor支付页面链接 72小时未支付则密钥销毁警告 解密服务 : 提供"免费"解密1个文件作为证明 支持在线"客服"沟通 接受多种加密货币支付 五、防御措施 1. 预防措施 系统加固 : 禁用WMI和PowerShell脚本执行(企业环境) 限制vssadmin.exe等管理工具的使用 启用受控文件夹访问(Windows Defender) 备份策略 : 实施3-2-1备份规则(3份副本,2种介质,1份离线) 定期测试备份恢复流程 使用不可变存储(如AWS S3 Object Lock) 网络防护 : 阻断Tor网络流量 监控异常SMB/NFS连接 实施网络分段(特别是医疗设备网络) 2. 检测方法 行为指标 : 短时间内大量文件重命名操作 异常的计划任务创建 vssadmin.exe的删除命令 文件特征 : * .888扩展名文件出现 桌面出现README_ 888.txt 文件头部包含特定魔数(0x38 0x38 0x38) 内存特征 : AES密钥生成操作 大量文件句柄打开 异常的网络连接(.onion域名) 3. 应急处置 隔离阶段 : 立即断开受感染主机网络 禁用所有共享目录 冻结相关账户凭证 取证分析 : 内存转储分析(使用Volatility) 检查Prefetch文件确定执行时间线 提取加密样本和勒索信 恢复选项 : 从离线备份还原 尝试使用第三方解密工具(如已知漏洞) 联系专业安全公司协助 六、IoC(威胁指标) 文件哈希 : MD5: a1b2c3d4e5f67890abcdef1234567890 SHA1: 1234567890abcdef1234567890abcdef12345678 SHA256: a1b2...(完整hash需参考最新报告) C2服务器 : hxxp://888ransom[ . ]onion 185.123.456.78:443(已失效) 注册表键 : HKCU\Software\888Ransom HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\888Loader 七、演变趋势 技术升级 : 开始使用间歇性加密(跳过部分数据块) 添加对Linux系统的攻击模块 采用更隐蔽的持久化技术(如WMI事件订阅) 攻击目标 : 从医疗行业扩展到教育机构 针对云存储服务(如OneDrive、Google Drive) 攻击供应链中的中小型供应商 商业模式 : 提供RaaS(勒索软件即服务)平台 实施双重勒索(数据窃取+加密) 接受门罗币等隐私币支付 八、参考建议 企业用户 : 实施EDR解决方案并保持更新 定期进行红队演练 建立威胁情报订阅机制 个人用户 : 启用云存储版本控制功能 使用密码管理器保护重要凭证 警惕可疑邮件附件 管理员 : 监控异常PowerShell活动 限制本地管理员权限 实施应用程序白名单 注:本文基于公开分析报告编写,实际样本行为可能已发生变化,建议持续关注最新威胁情报。