一款名為 FireCrypt 的勒索軟件正悄然來襲。它不僅具備一般勒索軟件的特性，會將受感染的系統文件惡意加密。還會試圖利用受感染者機器，向其源碼中硬編碼的 URL 地址，發起微弱的 DDoS 攻擊。

這個新型勒索軟件，是由 MalwareHunterTeam （惡意軟件獵人小組）發現的。 以下是MalwareHunterTeam和 Lawrence Abrams提供的對該惡意軟件的分析報告。

作為勒索軟件構建套件的 FireCrypt

惡意軟件通常通過從源碼編譯生成，或者通過軟件來自動生成，自動化軟件會采用某些輸入參數，并以此來定制惡意軟件的有效載荷。

后者在業內，被稱為惡意軟件構建器，一般都為命令行應用程序或 GUI 的工具。

而 FireCrypt勒索軟件的作者，則使用的是命令行應用程序。在使用過程中，該應用程序會自動將 FireCrypt 的樣本文件放在一起，允許他修改基本設置，而不需要再使用笨重的 IDE，重復編譯源碼了。FireCrypt 的構建器，被命名為BleedGreen（見下文），它允許FireCrypt作者，給勒索軟件自定義名稱，并使用個性化圖標，來生成一個獨特的勒索軟件可執行文件。與其他勒索軟件構建器相比，BleedGreen算是一個比較低端的構建器。與其他類似的構建器相比，它的自定義選項少的可憐。例如某些類似的構建器，還會有比特幣收付款地址，贖金值，電子郵件聯系地址等設置選項。

BleedGreen除了可以將生成的可執行文件EXE，偽裝為 PDF或 DOC的圖標外，它還會對勒索軟件的二進制文件做細微的改動，以便在每次編譯時，都能生成一個具有不同哈希值的文件。

該技術經常被惡意軟件開發人員，用來創建所謂的“多態性惡意軟件”，這樣做的目的就是盡可能的躲避殺毒軟件的查殺。根據MalwareHunterTeam的介紹，“BleedGreen構建器是一款非常低端和基礎的勒索軟件構建器，因此它并不能真正意義上實現免殺。”

不過從這也可以看出，FireCrypt 的作者還是具備一定的惡意軟件開發經驗的，而不是一個只會從 GitHub下載開源勒索軟件的腳本小子。

FireCrypt 感染過程

能否將FireCrypt感染給目標系統，取決于勒索軟件的分發者能否成功誘使目標用戶啟動生成的EXE可執行文件。

一旦生成的惡意 EXE 文件被成功觸發，那么FireCrypt將會殺死計算機的任務管理器（taskmgr.exe）進程，并使用 AES-256 加密算法，對列表中的20 個文件類型進行加密。

所有被加密文件的原始文件名和擴展名都將附加“.firecrypt”后綴。例如，名為photo.png的文件，將被重命名為 photo.png.firecrypt。

一旦文件加密過程結束，FireCrypt 就會在桌面，彈框警告用戶按其要求支付相應的贖金，以此來換取文件的解鎖。

據 MalwareHunterTeam 介紹說，該贖金彈框與去年 10月14日小組發現的一款勒索軟件的贖金彈框幾乎是一樣的。

當時發現該勒索軟件時，好像還處于開發階段并未成型。直到今年才發現，有受感染機器的文件被加密。

唯一不同的是，去年發現的那款勒索軟件在贖金彈框頂部放置了一個類似 logo 的標志，而 FireCrypt 卻移除了這個標志。

但是，通過仔細檢查Deadly的源代碼，MalwareHunterTeam發現這兩款勒索軟件，使用的電子郵件和比特幣地址相同，這表明兩者之間緊密相關，FireCrypt 極有可能是 Deadly 這款勒索軟件的升級版。

DDoS 之用垃圾文件填充你的硬盤驅動器

除了加密受感染用戶文件并向用戶索要贖金外， FireCrypt 還會調用其源碼包含的一個函數，該函數會持續不斷地連接到遠程的一個 URL地址，下載一些垃圾文件，并自動將其保存在你硬盤的%Temp%文件下，同時命名為[random_chars]-[connect_number].html。

如果用戶不知道這個功能，FireCrypt將會在短時間內，將垃圾文件迅速填充滿你的％Temp％ 文件夾。

當前該版本的 FireCrypt 勒索軟件，將會從遠程連接并下載 http://www.pta.gov.pk/index.php上的內容，該 URL為巴基斯坦電信管理局的官網地址。當前，我們無法使用勒索軟件的構建器修改此 URL。

FireCrypt的作者將此功能稱為“DDoSer”，他必須感染成千上萬臺的機器，才有可能對巴基斯坦電信管理局的官網發起DDoS 攻擊。此外，所有受感染的計算機，都必須處于連網狀態，只有這樣才能參與到其發起的 DDoS 的攻擊。

截至這篇文章發布，還沒有發現有效方法來恢復這些被加密的文件。因此，一旦你感染了這種勒索軟件，想要在短時間內恢復文件，則可能不得不按要求支付 500 美元的贖金來解鎖。相反，如果你實在不愿意或無力支付這筆贖金。那么，請務必保留好這些被加密文件的副本，或許不久以后就會有人放出它的解密器。

定位文件擴展名：.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

與 FireCrypt 勒索軟件相關聯的文件：%AppData%MicrosoftWindowsStart MenuProgramsStartup[random_chars].exe - Startup Executable

%Desktop%[random_chars]-READ_ME.html - Ransom Note

%AppData%SysWin32 iles.txt - List of Encrypted Files

%Desktop% andom_chars]-filesencrypted.html - List of Encrypted Files

%Temp% andom_chars]-[connect_number].html - Files downloaded during the DDoS attack

與 FireCrypt 勒索軟件相關的哈希值：

leedGreen構建器（當前 VirusTotal 掃描結果顯示，在 57 款殺毒軟件檢測中，只有 2款殺毒軟件，認為它是惡意軟件）：

SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d

一個 FireCrypt 勒索軟件二進制示例（當前 VirusTotal 掃描結果顯示，在 57款殺毒軟件檢測中，只有13 款殺毒軟件，認為它是惡意軟件）：

SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f

電子郵件地址和付款聯系人：EMAIL: [email protected]