首頁 > 關于我們 > 新聞動態 > 公司新聞

啟明星辰提醒:警惕仿冒DeepSeek安裝包投遞WannaCry勒索軟件

發布時間 2025-03-14

“讓每一句人機對話都安全可信,讓每一次智能交互都風險可控——這是屬于AI時代的安全承諾。 —— 啟明星辰”


AI速覽:


本文討論了2025年隨著DeepSeek-R1發布引發大模型本地化部署浪潮后,啟明星辰VenusEye威脅情報中心發現勒索軟件團伙利用仿冒DeepSeek安裝包進行攻擊的情況,研究團隊分析了樣本并給出相關信息。關鍵要點包括:

1.攻擊手段:黑客利用仿冒DeepSeek安裝包(Install_DeepSeek.exe)攻擊,自解壓釋放WannaCry勒索軟件和Windows XPHorror病毒。

2.樣本信息:初始仿冒程序Install_DeepSeek.exe,文件大小56.07MB,由2個exe程序打包組成,通過SFX腳本指定釋放路徑,釋放tasksche.exe和SETUP.EXE到C:\WINDOWS文件夾。

3.惡意程序功能:tasksche.exe釋放WannaCry模塊加密文件;._cache tasksche.exe解壓縮模塊、解密并執行DLL;DLL加密特定后綴文件;SETUP.EXE (Windows XP Horror病毒)修改磁盤MBR,更改登錄界面。

4.加密文件后綴:被加密文件后綴眾多,加密后追加.WNCRY后綴,每個文件夾釋放勒索信和部分解密程序。

5.溯源關聯:通過比特幣交易地址發現該組織持續盈利,累計獲利約54BTC,超千萬元人民幣,同時還關聯到多個相關樣本。


2025年,隨著DeepSeek-R1的發布,迅速引發大模型本地化部署浪潮。前所未有的關注度也吸勒索軟件團伙也緊跟熱點,搭建釣魚網站,偽裝成合法的AI軟件下載平臺,誘導用戶安裝捆綁勒索軟件的仿冒軟件,從而對受害主機上的文件進行加密,以脅迫受害者支付贖金。


技術分析


此次攻擊活動的樣本是偽裝成DeepSeek安裝包的exe文件,該文件執行后,通過自解壓方式釋放出勒索軟件WannaCry和恐怖病毒Windows XP Horror,分別執行這2個惡意程序。WannaCry釋放出勒索功能模塊并執行,加密特定后綴的文件,釋放出勒索信??植啦《網indows XP Horror修改磁盤MBR,將登錄界面設置為骷髏圖像并播放恐怖動圖。


該樣本整體流程如下圖所示:


圖片1.png


1、初始仿冒程序


該樣本為偽裝成DeepSeek安裝程序的exe文件,其樣本信息見下表:


圖片2.png


初始攻擊文件仿冒了DeepSeek的圖標,如下圖所示:


圖片3.png

該exe文件屬于Winrar SFX自解壓文件,由2個exe程序打包而成,如下圖所示:


圖片4.png


惡意軟件通過SFX腳本指定tasksche.exe和SETUP.EXE的釋放路徑,SFX腳本內容包含“DeepSeek”相關信息,如下圖所示:


圖片5.png


通過用戶點擊觸發SFX惡意文件后,會將tasksche.exe和SETUP.EXE釋放到C:\WINDOWS文件夾中:


圖片6.png


同時安裝執行tasksche.exe和SETUP.EXE:


圖片7.png


2、 tasksche.exe


tasksche.exe由Delphi語言開發,其功能是釋放WannaCry勒索軟件的模塊,實現文件加密勒索功能。樣本信息見下表:


圖片8.png


tasksche.exe的資源文件中包含一個EXE程序,如下圖所示:


圖片9.png


tasksche.exe啟動后,首先會加載該資源,獲取資源內容。然后創建文件 C:\WINDOWS\._cache_tasksche.exe,并將資源中的數據寫入該文件中,最終執行該文件。如下圖所示:


圖片10.png


3、 ._cache_tasksche.exe


._cache_tasksche.exe文件的樣本信息見下表:


圖片11.png


._cache_tasksche.exe的主要功能是從資源中解壓縮出功能模塊,解密出1個DLL并執行其特定的導出函數。如下圖所示:


圖片12.png


首先在注冊表HKLM\Software\WanaCrypt0r\wd 中寫入當前路徑,記錄進程的工作目錄(work directory),供其它模塊使用。如下圖所示:


圖片13.png


修改后的注冊表如下圖所示:


圖片14.png


然后使用密鑰“WNcry@2ol7”將嵌入在資源中的zip壓縮包解壓到C:\WINDOWS。如下圖所示:


圖片15.png


資源中的zip壓縮包如下圖所示:


圖片16.png


該壓縮包中有多個文件,如下圖所示:


圖片17.png


讀取文件 t.wnry 的內容并解密出DLL文件,如下圖所示:


圖片18.png


解密出的DLL文件是勒索模塊,具有名為TaskStart的導出函數,如下圖所示:  


圖片19.png

 

通過調用該導出函數,執行加密勒索功能。


4、勒索模塊


上一階段解密出的DLL文件的原始名稱為kgptbeilcq,負責實現具體的加密勒索功能。樣本信息見下表:


圖片20.png


該DLL的主要功能如下圖所示:


圖片21.png


首先終止數據庫相關進程,使得能夠加密數據庫文件。如下圖所示:


圖片22.png


獲取磁盤驅動器名稱,遍歷各磁盤。如下圖所示:


圖片23.png


遍歷文件夾,檢查文件的名稱和后綴,如下圖所示:


圖片24.png


加密以下后綴名的文件:


文件名.png


文件被加密后,會被追加后綴名 .WNCRY。


 在每個文件夾中釋放名為 @Please_Read_Me@.txt 的勒索信和名為 @WanaDecryptor@.exe 的解密程序。勒索信內容如下圖所示:


圖片25.png


受害者通過解密程序 @WanaDecryptor@.exe,可以解密出10個被加密的文件。該解密程序顯示了提示信息和比特幣地址,并進行倒計時。如下圖所示:


圖片26.png


5、SETUP.EXE


SETUP.EXE是古老的WindowsXP Horror病毒,該病毒會修改磁盤MBR,將登錄界面修改為骷髏圖像,并播放恐怖動圖。


樣本信息見下表:


圖片27.png


樣本執行后,首先退出登錄界面,顯示“Installing Windows Updates”等提示,在進度到66%時,會彈出“Setup will use the file 666.sys”的提示。如下圖所示:


圖片28.png


登錄界面會被換成骷髏圖像,不斷切換血腥圖片,并播放恐怖動圖。


點擊桌面的圖標后,會彈出提示框,并把圖標移動到回收站。


操作系統崩潰并顯示紅色背景,如下圖所示:


圖片29.png


溯源關聯


1. 通過對該組織提供的比特幣交易地址,跟蹤到該組織在2024年末收到幾筆受害者支付的BTC。說明該組織依舊在依靠勒索軟件持續盈利:


圖片30.png


圖片31.png


同時通過對歷史信息的統計,可以觀測到該組織在披露的地址上累計獲利約54BTC,按當前匯率估算已超過千萬元人民幣。


2. 通過對初始樣本的特征進行關聯,發現以下與本次攻擊活動相關的樣本:


MD5:

c27fc192811dad928730b24fd8150a03

2e5f24942932190e577319a7e81b83e4

33e884e59a7c1e1d6af5b19a283a04a7

4d4f7bfac3a17767cb9a7f88737b7ef5

061a8f66ec2f86f9668c0c157ed54b6c

5a02e019a2a7920d0b23326a616bf88f

a7389982054233436020f0ada0765a48


ATT&CK


該樣本所采用的攻擊技戰法與ATT&CK的映射如下表所示:


圖片32.png


IoCs


圖片33.png

上一篇 下一篇