一款勒索软件的详细分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2023-02-04

0x0基本信息报告名称: 一款勒索软件的详细分析报告更新日期:2017-10-30 样本类型: WIN32 EXE 样本文件大小:12288字节/被加密文件大小无变化样本文件MD5:f9154b290dc8fbf1bc82065d656b6590 样本文件SHA-1:cca6c6b00d6072f08aad735cb559839f333fcb9a 第一次发现日期:2012-01-30 00:19:030x1简介该样本是一款加密算法可逆的勒索软件. i被感染后系统症状: 1正常文件名后添加.EnCiPhErEd扩展名 2双击打开1中文件,出现勒索信息弹出框,以及解密密码输入框. 3桌面壁纸变为勒索信息图片(该样本信息图片缺失,故变为黑屏) ii文件系统变化: 1%TMP%目录下出现名为ZFe6iILss4arp10.exe的病毒复制体 2从A盘到Z盘,所有指定类型的大于8字节大小的文件会被加密 3各个目录下会创建3个勒索说明文件(功能残缺,未出现,但包含代码) iii注册表变化: 1HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加一项名为Alcmeter的REG_SZ值,值为ii-1中病毒全路径 2HKEY_CLASSES_ROOTYPZEZHCHKRGLOLF及其子项 3HKEY_CLASSES_ROOT.EnCiPhErEd iv网络症状: 无0x2详细分析: 样本开始运行后会进行如下行为: 1加载自身位图资源到内存,在内存中对其进行解密.解密完成的数据放到内存的相应位置. i.解密方式如下: 以前16个字节作为密钥,

[C] 纯文本查看复制代码

?[tr=none]

1

byte_rsc ^= byte_rsc[i%16]; //(i>=16) 密钥为:FB B3 05 48 41 7E DE A7 35 DD 8B 2F FD 5E BD BE, 称为密钥1 ii.解密完成后数据如下:

(不包括前16个字节) iii.经过分析,上图中的值可分为以下部分:

2将密钥1分为4个DWORD,每个DWORD字节逆序后存放在[406595,4065a5),称为密钥2 3得到explorer.exe的创建修改访问时间, 将自身重命名并放入到%TMP%目录下,并更名为ZFe6iILss4arp10.exe,设置该EXE的三个时间为前面得到的时间 4在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下创建名为Alcmeter的REG_SZ值, 并赋值为新病毒文件的完整路径,实现开机自启动. 5在注册表创建一些列项值HKEY_CLASSES_ROOTYPZEZHCHKRGLOLF及其子项, HKEY_CLASSES_ROOT.EnCiPhErEd, 实现.EnCiphErEd文件的关联打开方式为新病毒. 6开始循环遍历硬盘, 从Z盘开始到A盘: i.如果遍历到目录,那么拼装路径继续递归 ii.如果遍历到文件,那么比较文件名是否为三个勒索说明的文件名.是则开始下一次遍历. iii.在该目录下创建三个勒索说明文件 iv.对文件后缀名进行匹配,如果不在列表中,则开始下一次遍历 v.在列表中,那么在内存中给文件名加上.EnCiPhErEd后缀 vi.打开文件,得到文件的创建修改访问时间, 读取文件*lDistanceToMove处nNumberOfBytesToRead个字节的值. vii.文件名的第一个字节,设为B1,

[C] 纯文本查看复制代码

?[tr=none]

1

密钥2 = 密钥2 ^ (B1 rol i); //i∈[0,15] 并存储到[406585,406595),称为密钥3 viii.接下来,根据图2中那5个字节的开关中的某个字节,有二种加密方式. 在本样本的资源设定中, 会选择加密方式2.设读入文件数据data, 数据长度len ①加密方式一: 对(len/4)个DWORD, DWORD_data^= 密钥1[i%4] i∈[0,len/4] ②加密方式二: 对(len/8)个2个DWORD, 显然该算法可逆. ③加密方式二的解密方式:(该解密函数就在加密的旁边,BYTE_406550为0时,病毒为加密模式;为1时,病毒为解密模式) 对(len/8)个2个DWORD, ix.将加密后的数据写入受害文件,并设定文件的创建修改访问时间为vi中获得的值, 避免操作暴露. x.利用MoveFileA正式重命名文件, 开始下一次遍历. 7用SHGetSpecialFolderPath得到特殊目录,并在其中创建勒索信息文件,之后弹出勒索信息对话框, 8加载资源中名为pussylicker(龌蹉的名字)的bmp资源, 并以此创建bmp文件,之后设为桌面背景. 9至此, 第一次执行流程结束.以后打开.EnCiPhErEd文件,会执行以下流程: 1执行上述的1.2.3 2执行到3后,发现自身已经存在于临时目录后,创建勒索密码输入窗口.之后开始等待输入. 3窗口回调中的关键代码如下: 该过程不可逆,网上查询也无结果. 不过不影响大局. 文件可以解锁.