透视俄乌网络战之一：数据擦除软件( 三 ) _恶意

8.
（1）简介
是针对俄罗斯进行的数据擦除软件，该软件使用.NET编写，以蠕虫病毒的形式传播，并且会在目标机器上对文件进行不可逆的加密，从而造成数据擦除。同时在一些版本的代码当中会检查当前IP是否处于俄罗斯，从而进行攻击。
（2）分析
地理位置识别
恶意软件追踪受害者设备的 IP 位置，并且只有在检测到属于俄罗斯的 IP 时才会执行。为了识别 IP 地址，这个恶意软件使用了两个 api，分别是和，这两个接口都在其代码中硬编码。
权限提升
在识别出设备的地理位置之后，恶意软件会进一步检查被感染机器中的权限。
如果恶意软件没有管理员特权，它会尝试使用下面的命令在升级模式下执行自身。
cmd.exe /c powershell stART-PRoceSS Assembly.GetExecutingAssembly().Location -veRB rUnAS
连接驱动器的发现
恶意软件扫描受害者系统中的驱动器，包括可移动驱动器和连接到受害者机器的网络驱动器。
加密和删除
在扫描驱动器之后，恶意软件会对受害者电脑中已识别目录和子目录中的所有文件进行加密。为了防止从备份文件中恢复已加密的数据，恶意软件还会删除被感染的电脑中的 .bak 文件。
该恶意软件使用AES-CBC 加密算法来加密受害者机器中的文件
文件加密使用随机生成的 AES 密钥。密钥是使用诸如 on、和2022这样的硬编码字符串以及受害者的机器名和用户名计算出来的。
勒索信
恶意软件置入了一个名为Полномасштабное_кибервторжение.txt(Full--.txt)的勒索信文件。该说明是用俄文写的，放在文件加密的所有目录中。
传播机制
【透视俄乌网络战之一：数据擦除软件】该恶意软件将自身重命名为Россия-Украина_Война-Обновление.doc.exe (--.doc.exe)，并传播到所有连接的系统。