Nokoyawa 是今年新出現的 Windows 勒索軟件，Fortinet 最早捕獲的樣本是在 2022 年 2 月編譯的，并且與 Karma 勒索軟件存在大量的相似之處。Karma 可以通過一系列變種追溯到名為 Nemty 的勒索軟件，后者為在 2019 年被發現的勒索軟件。

近期發現的 Nokoyawa 變種，重用了大量公開源碼來改進自身。本文將會介紹 Nokoyawa 勒索軟件的及基本情況。

Nokoyawa 勒索軟件

與 Karma 能夠在 32 位/ 64 位 Windows 運行不同，只發現了在 64 位 Windows 上運行的 Nokoyawa 樣本。

Nokoyawa 提供了幾個命令行參數：

• help：打印命令行選項列表
• network：加密所有驅動器和卷上的文件（本地和網絡）
• file：加密單個文件
• dir：加密指定目錄和子目錄中的所有文件

如果沒有提供參數，Nokoyawa 默認加密所有本地驅動器和卷。

為了保持加密速度，Nokoyawa 創建了多個線程來加密不以 .exe、.dll 或 .lnk 為擴展名的文件。文件名中帶有 NOKOYAWA 的文件也會被跳過。此外，一些目錄及其子目錄通過將其名稱的哈希與樣本中硬編碼的哈希列表進行對比也會被跳過。

攻擊者為每個樣本都生成一對新的橢圓曲線加密公私鑰對，然后將公鑰嵌入文件中。這樣，攻擊者消除了受害者可以使用相同密鑰解密的可能性，因為每個受害者都是獨立的。

被勒索軟件加密的文件會附加 .NOKOYAWA的擴展名，贖金勒索信息被寫入每個加密目錄中的 NOKOYAWA_readme.txt中。

抄襲能力

2022 年 4 月發現的樣本中增加了三個新功能，都為了讓 Nokoyawa 可以更多的加密文件。這些功能在勒索軟件中廣為使用，但 Nokoyawa 才開始將其引入，嘗試在技術能力上追趕其他攻擊者。

研究人員能夠確認，新增的功能都是從公開源碼中復制而來的，包括 2021 年 9 月泄露的 Babuk 勒索軟件源碼。

舉個例子，終止進程與服務以減少被其他程序鎖定文件的數量。這一點上，Nokoyawa 的代碼與 Babuk 的代碼完全一致。

代碼比對

受到影響的進程如下所示：

• sql.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefox.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• notepad.exe

受到影響的服務如下所示：

• vss
• sql
• svc$
• memtas
• mepocs
• sophos
• veeam
• backup
• GxVss
• GxBlr
• GxFWD
• GxCVD
• GxCIMgr
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• RTVscan
• QBFCService
• QBIDPService
• Intuit.QuickBooks.FCS
• QBCFMonitorService
• YooBackup
• YooIT
• zhudongfangyu
• sophos
• stc_raw_agent
• VSNAPVSS
• VeeamTransportSvc
• VeeamDeploymentService
• VeeamNFSSvc
• veeam
• PDVFSService
• BackupExecVSSProvider
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• AcrSch2Svc
• AcronisAgent
• CASAD2DWebSvc
• CAARCUpdateSvc

樣本中還使用 IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE (0x53c028) 控制代碼的 DeviceIoControl API 將卷影副本快照的空間大小調整為 1 字節，以此刪除卷影副本快照。該技術實現似乎是從公開的 POC 中復制而來，舊樣本中沒有刪除卷影副本快照的功能。

不過，以上功能想要正常執行都是需要管理員權限的。在樣本中未觀察到 Windows UAC 繞過的實現，攻擊者可能通過其他方式獲取的管理員權限。

勒索信息

在 2022 年 2 月的樣本中，受害者要求通過電子郵件聯系攻擊者。

勒索信息

在 2022 年 4 月 的樣本中，電子郵件被替換成了通過 Tor 的 URL。盡管使用的都是相同的 .onion 域名，但每個樣本的標識 ID 是唯一的。

勒索信息

贖金支付

訪問暗網網站會進入在線聊天頁面，受害者可以與攻擊者溝通協商并支付贖金。研究人員觀察到潛在受害者與攻擊者的對話，攻擊者表示可以提供最多三個文件的免費解密，證明能夠解密：

在線聊天

頁面標注了贖金金額，本例中為 150 萬美元。支持比特幣與門羅幣支付，付款后攻擊者提供解密工具：

支付贖金

勒索軟件的專業化程度越來越高，這種網站可能是另一種改進嘗試。

值得注意的是，攻擊者威脅會將數據泄露出去。但研究人員并未發現 Nokoyawa 樣本具備這種能力。這很可能是攻擊者虛張聲勢，迫使受害者支付贖金。

結論

Nokoyawa 勒索軟件的新變種也在持續更新改進，利用公開源碼更新自身功能，以小的代價為惡意軟件提高技術水平。