新型勒索软件PYSA浅析

新型勒索软件PYSA浅析

什么是勒索软件PYSA
PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”，于2019年12月被首次命名，也就是Mespinoza被发现两个月后。最初被加密的文件被Mespinoza使用 .locked作为扩展名，然后转而使用 .pysa作为后缀，目前此勒索软件可能会交替使用PYSA和Mespinoza 这两个名称来命名被加密的文件。

PYSA与许多已知的勒索软件系列一样，被归类为勒索软件即服务(RaaS)工具。这意味着其开发人员已将这种现成的勒索软件出租给犯罪组织，这些犯罪组织可能在技术上不够精通，无法制作自己的勒索软件。PYSA客户可以根据RaaS提供的选项对其进行自定义，并根据自己的喜好进行部署。PYSA能够在加密要勒索的文件之前从受害者那里窃取数据。

根据某些威胁情报提供方的说法，PYSA/Mespinoza是2级RaaS运营商，因为它在地下赢得了较高声誉。执行此操作的操作员或工作人员有一个页面（称为“泄漏列表”），他们在其中点名并羞辱决定不支付赎金的受害者。受害者与附带的附件一起列出，其中包含威胁行为者从中窃取的文件。

图2 PYSA数据泄露站点的详细内容
初步分析
PYSA勒索软件进程首先将自身与控制台分离，从而关闭控制台。这允许勒索软件在控制台不作为勒索软件运行的指示器的情况下运行。PYSA勒索软件然后创建一个名为Pysa的互斥对象。如果此互斥对象已存在，勒索软件将终止。这是为了确保一次只有一个 PYSA 勒索软件实例运行：

图4 PYSA用于加密的公钥

PYSA勒索软件然后从文件的开头开始加密文件的100个相同大小的数据块。为了加密数据块，勒索软件使用AES-CBC加密算法和之前生成的AES-CBC密钥和IV。勒索软件通过以下公式来计来计算用于加密的单个数据块的大小（以字节为单位）：

图5 文件数据块的未加密和加密形式

如何防范
我们建议使用如下方式对勒索软件PYSA进行防范：

1. 确保及时修补您的系统，以最大程度地降低因漏洞利用而感染勒索软件的风险；

2. 使用安全密码，定期修改密码，并在可能的情况下使用多因素身份验证；

3. 禁用未使用的RDP服务，正确保护已使用的RDP服务，并定期监控RDP日志数据以防止暴力尝试和其他不规则活动；

4. 定期将文件备份到安全的远程位置并实施数据恢复计划。定期数据备份确保您可以在勒索软件攻击后恢复数据；

5. 安全地处理源自外部来源的电子邮件。这包括禁用超链接和调查电子邮件的内容以识别网络钓鱼企图。

微信名片

来源：白面安全猿