一、病毒家族介绍

近日，一款以微信支付作为赎金方式的SafeSound勒索病毒在国内出现，该勒索经过代码识别由易语言编写，目前藏匿于主流游戏外挂中，加密后文件的后缀被修改为.SafeSound。勒索采用RC4加密文件，同时密钥也使用其他对称算法加密。

由于密钥未通过网络传递且本地留存因此可以通过瑞星提供的SafeSound解密器解密。

二、解密工具下载地址

http://download.rising.com.cn/for_down/rsdecrypt/SafeSound_Decryptor_x86.exe

三、样本信息

表：样本基本信息

四、病毒传播方式

该病毒通过“穿越火线”、“绝地求生”等游戏外挂进行传播，当用户下载并使用游戏外挂后将释放勒索病毒在预定的时间以服务方式启动。

图：下载站点相关内容

五、病毒危害概述

对系统磁盘中除特定格式外的其他文件进行加密，重要文件或资料可能因此遭受损失。

六、解密工具的使用

解密工具由python3编写，提供代码与EXE可执行程序。用户在染毒后因保持现场环境切勿删除或恢复系统可能导致本地密钥文件丢失。

解密工具启动后会自动寻找C:\Windows\Temp目录下的密钥文件如果找到将直接解密出文件密钥。如果未能找到可从勒索信Key中复密钥部分粘贴或手动输入进行解密。

向解密器粘贴文件路径将对路径下感染文件进行解密恢复工作，创建新的解密文件（不删除病毒加密的文件）。

此外还可以拷贝密钥至勒索信Password栏，点击Start即可解密并恢复文件。

七、详细分析

SafeSound_son.exe执行后将.data段硬编码的PE文件释放到C:\Users\username\Documents\目录下并设置隐藏属性。

图：释放DLL文件
SafeSound.dll模块提供导出函数InsertSvc,在SafeSound_son.exe加载SafeSound.dll模块之后调用。

图：通过导出函数安装自身
创建一个名为”SafeSound”的服务：ServiceDll: C:\Users\User-win7\Documents\SafeSound.dll

图：注册的服务信息
程序首次启动时在C:\Windows\Temp下存放trigger文件, 储存当前系统的三天后时间。

当程序运行或者系统重启导致程序随服务启动时，进行时间验证。如果已经是trigger中所标记三天之后则开始进入加密流程。

图：进行系统日期判断
文件加密时判断文件后缀格式对下列格式进行排除，生成0x40随机数通过下图预置字符表进行字符转换。

转换后字符密钥如下所示：

释放临时文件%windir%\TEMP\Key.data来暂存密钥，Key文件共有0x48字节，前4字节用于校验解码密钥，4-8字节为异或加密的密钥，最后0x40字节为解密文件的长密钥。

图：存放解密文件的密钥
使用RC4进行文件加密，密钥长度0x40字节。

图：RC4加密部分
SafeSound.hash文件，用于为勒索病毒提供文件加密的清单信息。

图：勒索清单文件
在加密后的文件头写入[4字节文件原始大小]又在末尾进行追加写入，[原文件名]–[4字节原文件名长度]–[8字节原文件大小]-[4字节标识位0x1]。

图：加密后文件展示
在加密磁盘文件后，释放可执行程序Antidote.exe。该程序是SafeSound勒索提供的勒索信+解密器一体的可执行程序，作者企图通过微信向受害者索要赎金。

图：勒索信程序

八、防范建议

避免染毒

在高风险网站下载文件时提高警惕
提高上网安全意识，不运行可疑程序
安装安全产品，开启监控，更新病毒库和程序模块

减轻影响

使用SafeSound解密器解密重要文件
定期备份重要数据

风险消减措施

资产梳理排查目标:根据实际情况，对内外网资产进行分时期排查
服务方式:调研访谈、现场勘查、工具扫描
服务关键内容：流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查

安全设备调优

目标：
通过对安全现状的梳理和分析，识别安全策略上的不足，结合目标防御、权限最小化、缩小攻击面等一系列参考原则，对设备的相关配置策略进行改进调优，一方面，减低无效或低效规则的出现频次；另一方面，对缺失或遗漏的规则进行补充，实现将安全设备防护能力最优化。

主要目标设备：
网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。

全员安全意识增强调优

目标：
通过网络安全意识宣贯、培训提升全方位安全能力
形式：
培训及宣贯

线下培训课表
若无法组织线下的集体培训，考虑两种方式:
1.提供相关的安全意识培训材料，由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。

线上学习平台

九、团队介绍

团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS（信息技术服务运行维护标准四级）等认证，已构建了网络安全行业合格的资质体系；

十、我们的数据恢复服务流程

多年的数据恢复处理经验，在不断对客户服务优化的过程中搭建了"免费售前+安心保障+专业恢复+安全防御"一体化的专业服务流程。
① 免费咨询/数据诊断分析
       专业的售前技术顾问服务，免费在线咨询，可第一时间获取数据中毒后的正确处理措施，防范勒索病毒在内网进一步扩散或二次执行，避免错误操作导致数据无法恢复。
       售前技术顾问沟通了解客户的机器中毒相关信息，结合团队数据恢复案例库的相同案例进行分析评估，初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
       您获取售前顾问的初步诊断评估信息后，若同意进行进一步深入的数据恢复诊断，我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
       专业数据恢复工程师根据数据检测分析结果，定制数据恢复方案（恢复价格/恢复率/恢复工期），并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
       您清楚了解数据恢复方案后，您可自主选择以下下单方式：
双方签署对公合同：根据中毒数据分析情况，量身定制输出数据恢复合同，合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款，双方合同签订，正式进入数据恢复专业施工阶段，数据恢复后进行验证确认，数据验证无误，交易完成。
④ 开始数据恢复专业施工
      安排专业数据恢复工程师团队全程服务，告知客户数据恢复过程注意事项及相关方案措施，并可根据客户需求及数据情况，可选择上门恢复/远程恢复。
      数据恢复过程中，团队随时向您报告数据恢复每一个节点工作进展（数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认）。
⑤ 数据验收/安全防御方案
      完成数据恢复后，我司将安排数据分析工程师进行二次检查确认数据恢复完整性，充分保障客户的数据恢复权益，二次检测确认后，通知客户进行数据验证。
      客户对数据进行数据验证完成后，我司将指导后续相关注意事项及安全防范措施，并可提供专业的企业安全防范建设方案及安全顾问服务，抵御勒索病毒再次入侵。

---

   我们在此郑重承诺：

不成功不收费

全程一对一服务

365天不间断服务

免费提供安全方案

  24h服务热线：

18894665383

17864099776

18299173318

十一、文章来源

瑞星公司：
https://it.rising.com.cn/fanglesuo/19909.html?open_in_browser=true