今年是勒索病毒集中爆发的一年,而勒索病毒较之其他类型的病毒,危害性更加严重,一旦中招,将会承受重大损失。FakeGlobe是今年六月发现的勒索病毒,最近网络上又出现了该病毒的最新变种,我们必须加以防范。
一、病毒概况
此病毒会利用钓鱼邮件、网页挂马的方式在网络上传播,一旦用户不小心点击执行了病毒程序,那么用户机器上的硬盘文件都将会被加密为.doc后缀的文件。并且生成勒索提示文件.当用户文件被加密之后,往往只能按照勒索者提供的方式来支付赎金,以此来解密文件。如图所示:
图1:被勒索软件加密为.doc文件
图2:勒索后的提示文件
二、病毒利用的技术
该病毒勒索文件的代码,是一段加密的shellcode,运行时才会解密执行,并以此来阻碍静态分析,通过使用Ollydbg工具进行内存dump的方式分析其解密后的shellcode。病毒源文件与dump文件大小对比如图:
图3:勒索软件动态加密恶意代码之后
该勒索病毒所用的加密方式:第一层加密获取文件的字节数,并经过一系列数学运算后,以此为秘钥,对文件进行异或加密;第二层加密采用对称算法AES对文件进行加密;之后将AES加密秘钥使用RSA非对称加密算法进行加密并附在加密文件的末尾。加密之后的组织结构如下图:
图4:勒索软件加密后的文件
病毒勒索方式:病毒提供的支付赎金地址是洋葱网络中的一个地址,其地址结构为.onion后缀,这种方式具有很高的匿名性,防止病毒作者在网络上被人追查到,访问洋葱网络中的地址需要使用洋葱浏览器。
图5:下载Tor浏览器
三、病毒详细分析
1、运行时解密shellcode
该勒索病毒的恶意代码是通过运行时解密出来执行的,以此来防止自身被静态分析,解密完恶意代码之后,跳转到恶意代码执行。
解密shellcode 的代码:
图6:恶意shellcode的解密方式
图7:解密出恶意shellcode之后,跳转去执行
2、加密之前的准备工作
勒索病毒shellcode代码执行后,将自己拷贝到系统临时目录,来备份自己。
图8:获取系统临时目录路径
病毒将自己拷贝到临时目录下之后,设置系统启动项,用来自启动。在Soft\Microsoft\Windows\CurrentVersion\RunOnce目录下设置键名为BrowserUpdateCheck的启动项,如图所示:
图9:病毒设置自启动
结束文档类软件word、excel等,在加密过程中,防止由于软件启动,文件加密失败。其结束的软件进程如下图所示:
图10:病毒结束的相关软件程序
3、加密用户文件
勒索病毒会获取系统磁盘信息,每一个磁盘创建一个加密线程来执行,加密的磁盘类型包括如下三种方式:
图11:病毒加密的磁盘类型
图12:病毒根据磁盘数目来启动加密线程来工作
图13:病毒遍历文件进行加密
病毒加密方式包括简单数学运算异或、AES对称加密、RSA非对称加密。通过对文件大小进行数学运算得到一个key,并用其对文件进行异或加密,部分运算如下图所示:
图14:使用文件大小来计算异或的Key
图15:使用AES对称加密算法来加密文件
AES对称加密算法是一种可逆的加密算法,使用AES算法加密文件,具有速度快的特点。对于此勒索病毒来讲,使用AES对称加密算法对文件进行二重加密,并把AES的秘钥使用RSA算法进行加密,附加在文件末尾,RSA是非对称加密算法,在不知道其私钥的情况下,基本不可能完成破解。
图16:使用RSA算法加密AES秘钥
图17:将RSA加密后的密文附加在文件末尾
勒索病毒会遍历目录加密文件,并在加密的文件的当前目录下创建Read_me.html文件,此文件用来提示用户支付赎金的方式,支付赎金一般通过洋葱浏览器访问其提供的网址支付。
图18:创建的Readme.html文件
4、加密之后的收尾工作
病毒加密文件之后,由于将自身拷贝到了临时目录,并创建了自启动项,所以会创建bat文件进行自我删除,然后删除卷影副本和系统日志,来防止被感染者恢复文件并查找出感染源。
图19:创建bat文件用来删除卷影副本和系统日志
图20:病毒进行自我删除
四、如何防范勒索病毒
今年是勒索病毒集中爆发的一年,更种类型的勒索病毒与病毒变种层出不穷,对于勒索病毒,在其感染之后再处理,往往于事无补,需要安装专业杀毒软件或者网关,来防止勒索病毒在用户机器上运行:
A. 安装最新的景云杀毒客户端,有效查杀勒索病毒。B. 使用专业的安全网关。辰信领创安全专家提醒广大用户,安装最新的景云网络防病毒系统可对上网行为进行实时防护,有效查杀勒索病毒。景云即将推出专业的安全网关,预计将在2018年1月19日第一批工程机将免费赠送给家庭用户进行试用,届时请实时关注辰信领创官方微信动态,获取免费试用机会。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.