勒索软件Snatch利用安全模式绕过杀毒软件(2)

研究人员还发现一个名为Update_Collector.exe的恶意软件，该工具利用WMI收集的数据寻找网络上其他计算机和用户帐户的更多信息，随后将该信息转储到文件中，上传到攻击者的服务器。还发现了一系列其他合法的工具，包括 Process Hacker, IObit Uninstaller, PowerTool, 和 PsExec。在其他几起攻击中使用了完全相同的工具集，攻击者针对世界各地组织的进行攻击，包括美国、加拿大和几个欧洲国家。受害组织至少有一台或多台带有RDP的计算机暴露在internet上。

在攻击过程中的某个时间点（可能是在初始网络攻击后几天到几周），攻击者将勒索软件组件下载到目标计算机。此组件名称包括每个受害者唯一五个字符代码和“_pack.exe”。

下载勒索软件并通过PSEXEC启动

当恶意软件调用PSEXEC服务来执行勒索软件时，它已将自己解压缩到Windows文件夹中，并使用相同的五个字符和“unpack.exe”。

The “unpack” version ends up in the Windows directory

勒索软件将自己安装为一个名为SuperBackupMan的Windows服务。服务描述文本“This service make backup copy every day,”有助于其在服务列表中隐藏。此注册表项在计算机开始重新启动之前立即设置。

SuperBackupMan服务可组织用户停止或暂停。

恶意软件将此key添加到Windows注册表中，以便在安全模式引导期间启动。

HKLMSYSTEMCurrentControlSetControlSafeBootMinimalSuperBackupMan:Default:Service

使用Windows上的BCDEDIT工具发出命令，将Windows操作系统设置为以安全模式启动，然后立即强制重新启动受感染的计算机。

bcdedit.exe /set {current} safeboot minimal

shutdown /r /f /t 00

当计算机在重新启动后进入安全模式，恶意软件使用Windows组件net.exe停止SuperBackupMan服务，然后使用Windows组件vssadmin.exe删除系统上的所有Volume Shadow副本，可阻止技术人员对勒索软件加密的文件进行取证恢复。

net stop SuperBackupMan

vssadmin delete shadows /all /quiet

勒索软件然后开始加密受感染机器的本地硬盘上的文件。

Snatch影响分析

勒索软件在加密文件中会附加一个由五个字母数字字符组成的伪随机字符串。此字符串出现在勒索软件可执行文件名和勒索通知中，并且对于每个目标组织都是唯一的。例如，如果勒索软件名为abcdex64.exe，则加密的文件将文件扩展名.abcde附加到原始文件名后，勒索信息使用诸如README_abcde_files.txt或DECRYPT_abcde_DATA.txt之类的命名规范。