Loki为2020年6月首次出现的一款新型窃密勒索病毒，除了加密勒索功能外，还具备窃取摄像头，屏幕，桌面文件，浏览器密码，比特币钱包和vpn密码等重要数据、远程恶意文件执行的功能。目前该木马仅开启了数据窃取功能，尚未启动远程恶意文件执行和加密勒索。

病毒基本信息

病毒样本Hash:

36cbe272ce45461856a7c0145347f42f

virustotal多个引擎判断为勒索病毒

Anyrun沙箱运行提示有数据窃取行为。

Loki 窃密勒索病毒是由.NET编写的程序，编译时间是2020年6月24日。

病毒静态分析

程序未进行加壳混淆，dnspy直接载入即可清晰的看到该病毒具备的功能模块，从该病毒的类和方法名就可以看出，Loki Stealer病毒具备ransomware、stealer、loader三大块的功能。其中stealer功能支持窃取非常多类型的数据，包括Browser（浏览器存储密码、访问记录、cookie）、Credit_Cards（信用卡凭证）、WebCam（摄像头影像）、Grabber（文件掠夺）、Screen（屏幕截图）、FileZilla（FTP数据）、Steam（Steam平台数据）、Telegram（tg数据）、Wallets（虚拟货币钱包数据）等。

在loki.setting中可以看到该病毒的配置，可以看到该病毒只开启了grabber数据窃取功能，ransomware和loader功能都还未开启，但是相应的功能代码都已具备。

借助IDA PRO可以很清楚的看到各个功能函数的控制流程：

样本在运行后，初始化程序模块并获得文件根目录，之后创建文件夹存储窃取的数据。首先窃取的是webcam、screen、FileZilla、Telegram的数据。

然后是Steam数据，以及敏感文件的遍历窃取，此处会判断loader是否启用，没启用的话就会跳过

此处看一下窃取敏感文件的代码，代码位于loki.loki.Utilies.grabber。发现攻击者会遍历文件目录的.txt、.doc、.cs、.cpp、.dat、.docx、.log、.sql后缀的文件，并新建文件夹将这些后缀的文件复制进去。可以看出，攻击者重点想要窃取的是敏感数据文档、数据库文件、开发代码文件、日志文件、脚本文件以及可能保存敏感信息的txt文件。

最后窃取的是浏览器保存的各类数据、虚拟货币钱包数据。

数据窃取完毕后，会将数据上传到攻击者指定的服务器，上传完成后会删除收集到的敏感数据的文件夹，最后执行勒索加密功能。

看一下上传窃取数据的代码，是采用http的方式，将窃取的数据以POST数据包的形式发送到攻击者服务器。

加密勒索部分，采用的是AES加密，加密后将文件后缀修改为.loki，最后在相应目录下生成HowToDecrypt.txt的勒索信息文件。

动态行为分析

运行样本，注意该样本需要安装.net framework 4.0才能正常运行。但是即使是安装了.net，该样本也无法正常运行，可能是程序本身兼容性的原因。

虽然不能完全正常运行，但是使用火绒剑也捕捉到了该样本的部分行为。

遍历文件目录

摄像头截取

屏幕截图窃取

窃取的信息都在

C:Userswin7AppDataLocalTempAX754VD.tmp目录下

病毒行为梳理

Loki勒索窃密病毒的基本行为流程如下：

1、获取受害机器系统信息，获取当前文件跟目录，遍历文件目录，初始化程序执行；

2、窃取受害机器屏幕截图、摄像头截图、FTP数据、Telegram通讯软件数据，将数据拷贝到统一目录保存；

3、获取Steam游戏平台数据，将数据拷贝到统一目录保存；

4、判断Loader加载器模块是否启用，若启用则加载远程可执行恶意文件执行，若未启用则跳过；

5、窃取受害机器.txt、.doc、.cs、.cpp、.dat、.docx、.log、.sql后缀的文件，将数据拷贝到统一目录保存；

6、窃取受害机器浏览器保存的账户和浏览记录等数据，虚拟货币钱包数据，将数据拷贝到统一目录保存；

7、将保存窃取数据的文件目录打包，用HTTP协议以POST方式传输窃密数据到远端服务器；

8、删除受害机器上收集拷贝的窃密数据；

最后执行勒索加密模块，对受害机器文件进行加密，加密后缀为.loki。

原文来源：第59号

本文始发于微信公众号（网络安全应急技术国家工程实验室）：Loki窃密勒索病毒分析