Stop勒索病毒样本分析
本帖最后由 Potato 于 2019-10-31 12:32 编辑相关阅读:Stop勒索病毒家族,我是链接请点我
一、 样本信息
文件名:stop
MD5:ceb6f42385af9b50e8ec132aabac81a9
SHA1:e840910afdf0062495fee67486970b4bb9e59f18二、 代码分析
1. 文件释放
Stop运行之后,首先解密释放一个PE文件到内存,并装载至当前进程空间执行。通过这种方法躲避杀软的静态扫描检查。
病毒在执行时还会检查当前所属进程的执行权限。如果当前进程非管理员权限,则以管理员权限方式重新启动自身。
重新以管理员权限运行自身时,系统会弹出用户账户控制(UAC)对话框,等待用户选择,一旦用户点击”是”,病毒将以管理员权限执行;如果用户点击”否”,即新起病毒进程未通过UAC,程序则以普通权限运行。
病毒在管理员权限下运行将拥有更高的文件访问和读写权限,并可以执行诸多高权限操作。
2. 区域豁免
访问网址https://api.2ip[.]ua/geo.json,获取用户所在地区/国家代码。
根据该网址返回的国家代码,判断豁免以下地区:
[*]RU:俄罗斯
[*]BY:白俄罗斯
[*]UA:乌克兰
[*]AZ:阿塞拜疆
[*]AM:亚美尼亚
[*]TJ:塔吉克斯坦
[*]KZ:哈萨克斯坦
[*]KG:吉尔吉斯斯坦
[*]UZ:乌兹别克
另外在样本中还列出了叙利亚国家代码SY,但是并没有对该代码进行比较,也就是说实际并未豁免叙利亚。
如果机器所在地区属于豁免名单中,那么Stop将删除自身并退出执行。首先在%temp%目录下创建windows批处理文件delself.bat,然后执行该文件。文件内容如下,脚本最终会将Stop程序和bat文件自身全部删除。
@echo off
:try
del %STOP_PATH%
if exist %STOP_PATH% goto try
del C:\Users\%username%\AppData\Local\Temp\delself.bat
3. 自启动
STOP会为当前进程创建一个UUID,利用UUID创建目录”%localappdata%\UUID”,并复制自身到该目录下,为复制后的新文件路径创建名为”SysHelper”的自启动项,添加启动时执行参数”--AutoStart”。
执行下面的指令,该指令将设置UUID命名的新文件夹访问权限为不可删除。
icacls C:\Users\%username%\AppData\Local\UUID /deny *S-1-1-0:(OI)(CI)(DE,DC)
使用系统COM接口创建计划任务” Time Trigger Task”,每五分钟执行一次,执行病毒程序,参数为”--Task”。
4. RSA公钥和用户id
获取当前机器的MAC地址,计算MAC地址的MD5摘要值。接着访问URI:http://ring1[.]ug/sfdgsgdfhsgdhpenelop9/sgfdfgh/get.php,将MAC地址摘要值作为该GET请求的pid参数值;另一个参数first,其值由注册表键HKCU\Software\Microsoft\Windows\CurrentVersion\SysHelper的DWORD值确定,当SysHelper为1,first参数为true,否则为false。样本在初次访问时first=true。
例如:
http://ring1[.]ug/sfdgsgdfhsgdhpenelop9/sgfdfgh/get.php?pid=BEC3599AD7B40C4D9FC69C16C51F3B28&first=false
下载URI资源,保存为文件%LocalAppData%\bowsakkdestx.txt。
观察返回的结果,可以看到其中包括两个元素:RSA Public Key(PEM格式)和id。可合理推测:借由系统MAC地址的MD5摘要值,远程服务器为用户生成RSA公钥(1024-bit)和id,并下发到本地。若连续尝试访问远程服务器4次均失败,则使用本地硬编码的RSA公钥和id进行后续加密流程。
用户RSA公钥将用于加密文件加密密钥,id则作为用户标识。
5. 搜索文件进行加密
搜索目标包括可枚举的网络资源和本地目录。
Stop对于指定类型文件或者目录将不进行搜寻和加密,以免影响系统正常运行。
其中避免加密的文件名包括:
[*]ntuser.dat
[*]ntuser.dat.LOG1
[*]ntuser.dat.LOG2
[*]ntuser.pol
[*]_readme.txt(勒索信息文件名)
避免加密的文件扩展名包括:
[*].sys
[*].ini
[*].DLL
[*].dll
[*].blf
[*].bat
[*].lnk
[*].regtrans-ms
[*].nols(已加密文件扩展名)
避免搜寻加密的目录相对较多,主要包括系统目录和用户目录,如C:\Windows\、C:\Users\All Users\等。
6. 文件加密
获取文件大小,当文件过小不进行加密,在添加扩展名”.nols”后返回。
接着读取文件尾部38字节内容,如果等于标识字符串{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5},说明文件曾被加密过,不再进行加密。
对可加密文件,调用UuidCreate函数为每个加密文件生成不同uuid并转化为36字节字符串,取前32字节作为salsa20(对称加密算法)密钥,初始向量为uuid的前8字节。例如:
扩展后的密钥组成如下:
正式使用salsa20对文件内容进行加密时,最多只加密文件内容从第6个字节开始的150Kb内容,即首部的5字节不进行加密。
然后使用下载文件bowsakkdestx.txt 中RSA(非对称加密算法)公钥加密uuid(即密钥和初始变量)。
文件加密代码如下:
加密流程以及加密文件结构如下图:
加密后文件尾部示例:
7. 勒索信息文件
Stop会在每个磁盘和用户目录下创建一个勒索信息文件,文件含有用户的id,由常量”0173HfghP”+服务器下发的id组成。
8. 其他程序的下载和执行
Stop病毒会解出以下URI,访问资源并下载执行,但是仅资源updatewin1.exe、updatewin2.exe和5.exe可下载。
[*]http://ring1[.]ug/files/penelop/updatewin1.exe
[*]http://ring1[.]ug/files/penelop/updatewin2.exe
[*]http://ring1[.]ug/files/penelop/updatewin.exe
[*]http://ring1[.]ug/files/penelop/3.exe
[*]http://ring1[.]ug/files/penelop/4.exe
[*]http://ring1[.]ug/files/penelop/5.exe
(1). updatewin1.exe
利用powershell添加文件执行策略,对于网上下载脚本,需要其携带被信任的签名才能被执行。
释放powershell脚本.ps1,功能是关闭windows defender的实时保护:
Set-MpPreference -DisableRealtimeMonitoring $true
以管理员权限执行.ps1。
禁用任务管理器。
最后删除自身,删除方式和stop一致,创建delself.bat执行。
(2). updatewin2.exe
修改hosts文件,将各个反病毒厂商对应的网站指向本地,使用户无法访问对应的网站。修改后的hosts文件如下:
127.0.0.1 ds.download.windowsupdate.com
127.0.0.1 www.update.microsoft.com
127.0.0.1 download.windowsupdate.com
127.0.0.1 fe2.update.microsoft.com
127.0.0.1 whoer.net
127.0.0.1 www.whoer.net
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.360totalsecurity.com
127.0.0.1 360totalsecurity.com
127.0.0.1 www.gratissoftwaresite.com
127.0.0.1 gratissoftwaresite.com
127.0.0.1 tweakers.net
127.0.0.1 www.tweakers.net
127.0.0.1 www.avg.com
127.0.0.1 avg.com
127.0.0.1 www.bestevirusscanner.net
127.0.0.1 bestevirusscanner.net
127.0.0.1 www.consumentenbond.nl
127.0.0.1 consumentenbond.nl
127.0.0.1 cheaplicensing.com
127.0.0.1 www.cheaplicensing.com
127.0.0.1 global.ahnlab.com
127.0.0.1 www.global.ahnlab.com
127.0.0.1 www.ahnlab.com
127.0.0.1 ahnlab.com
127.0.0.1 downloads.tomsguide.com
127.0.0.1 www.downloads.tomsguide.com
127.0.0.1 www.download82.com
127.0.0.1 download82.com
127.0.0.1 download.cnet.com
127.0.0.1 www.download.cnet.com
127.0.0.1 www.avast.com
127.0.0.1 avast.com
127.0.0.1 support.avast.com
127.0.0.1 www.support.avast.com
127.0.0.1 www.consumentenbond.com
127.0.0.1 consumentenbond.com
127.0.0.1 www.goedkoopsteantivirus.com
127.0.0.1 goedkoopsteantivirus.com
127.0.0.1 www.toptenreviews.com
127.0.0.1 toptenreviews.com
127.0.0.1 www.antivirus.nl
127.0.0.1 antivirus.nl
127.0.0.1 www.bol.com
127.0.0.1 bol.com
127.0.0.1 www.avira.com
127.0.0.1 avira.com
127.0.0.1 www.bitdefender.com
127.0.0.1 bitdefender.com
127.0.0.1 licentie2go.com
127.0.0.1 www.licentie2go.com
127.0.0.1 www.bullguard.com
127.0.0.1 bullguard.com
127.0.0.1 www.kpn.com
127.0.0.1 kpn.com
127.0.0.1 virusscanner.software
127.0.0.1 www.virusscanner.software
127.0.0.1 www.comodo.com
127.0.0.1 comodo.com
127.0.0.1 www.drweb.com
127.0.0.1 drweb.com
127.0.0.1 download.drweb.com
127.0.0.1 www.download.drweb.com
127.0.0.1 vms.drweb.com
127.0.0.1 www.vms.drweb.com
127.0.0.1 alternativeto.ne
127.0.0.1 www.alternativeto.ne
127.0.0.1 softonic.com
127.0.0.1 www.softonic.com
127.0.0.1 www.softpedia.com
127.0.0.1 softpedia.com
127.0.0.1 www.flipkart.com
127.0.0.1 flipkart.com
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.emsisoft.com
127.0.0.1 emsisoft.com
127.0.0.1 www.antimalwaresoftware.com
127.0.0.1 antimalwaresoftware.com
127.0.0.1 www.pcwebplus.com
127.0.0.1 pcwebplus.com
127.0.0.1 www.pcmag.com
127.0.0.1 pcmag.com
127.0.0.1 www.eset.com
127.0.0.1 eset.com
127.0.0.1 www.surfspot.com
127.0.0.1 surfspot.com
127.0.0.1 www.topantivirus.com
127.0.0.1 topantivirus.com
127.0.0.1 www.techzine.com
127.0.0.1 techzine.com
127.0.0.1 www.eset.com
127.0.0.1 eset.com
127.0.0.1 www.fortinet.com
127.0.0.1 fortinet.com
127.0.0.1 fortiguard.com
127.0.0.1 www.fortiguard.com
127.0.0.1 forticlient.com
127.0.0.1 www.forticlient.com
127.0.0.1 www.kpn.com
127.0.0.1 kpn.com
127.0.0.1 www.kaspersky.com
127.0.0.1 kaspersky.com
127.0.0.1 www.consumentenbond.com
127.0.0.1 consumentenbond.com
127.0.0.1 www.surfspot.com
127.0.0.1 surfspot.com
127.0.0.1 www.topreviews.com
127.0.0.1 topreviews.com
127.0.0.1 www.amecomputers.com
127.0.0.1 amecomputers.com
127.0.0.1 www.instantsoftware.com
127.0.0.1 instantsoftware.com
127.0.0.1 www.malwarebytes.com
127.0.0.1 malwarebytes.com
127.0.0.1 www.malwarebytes.org
127.0.0.1 malwarebytes.org
127.0.0.1 download.cnet.com
127.0.0.1 www.download.cnet.com
127.0.0.1 www.bleepingcomputer.com
127.0.0.1 bleepingcomputer.com
127.0.0.1 www.majorgeeks.com
127.0.0.1 majorgeeks.com
127.0.0.1 www.seniorweb.com
127.0.0.1 seniorweb.com
127.0.0.1 www.amazon.com
127.0.0.1 amazon.com
127.0.0.1 www.techspot.com
127.0.0.1 techspot.com
127.0.0.1 filehippo.com
127.0.0.1 www.filehippo.com
127.0.0.1 www.idealsoftware.com
127.0.0.1 idealsoftware.com
127.0.0.1 uptodown.com
127.0.0.1 www.uptodown.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 home.mcafee.com
127.0.0.1 www.home.mcafee.com
127.0.0.1 www.coolblue.com
127.0.0.1 coolblue.com
127.0.0.1 www.pcmag.com
127.0.0.1 pcmag.com
127.0.0.1 www.sky.com
127.0.0.1 sky.com
127.0.0.1 norton.com
127.0.0.1 www.norton.com
127.0.0.1 www.kieskeurig.com
127.0.0.1 kieskeurig.com
127.0.0.1 internetsecurity.xfinity.com
127.0.0.1 www.internetsecurity.xfinity.com
127.0.0.1 www.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.campusshop.com
127.0.0.1 campusshop.com
127.0.0.1 www.pandasecurity.com
127.0.0.1 pandasecurity.com
127.0.0.1 www.paradigit.com
127.0.0.1 paradigit.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 home.sophos.com
127.0.0.1 www.home.sophos.com
127.0.0.1 sophos.virtualsecurity.com
127.0.0.1 www.sophos.virtualsecurity.com
127.0.0.1 www.gratissoftware.com
127.0.0.1 gratissoftware.com
127.0.0.1 www.seniorweb.com
127.0.0.1 seniorweb.com
127.0.0.1 www.softwareadvice.com
127.0.0.1 softwareadvice.com
127.0.0.1 www.symantec.com
127.0.0.1 symantec.com
127.0.0.1 hostedendpoint.spn.com
127.0.0.1 www.hostedendpoint.spn.com
127.0.0.1 www.g2crowd.com
127.0.0.1 g2crowd.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.goedkoopsteantivirus.com
127.0.0.1 goedkoopsteantivirus.com
127.0.0.1 download.cnet.com
127.0.0.1 www.download.cnet.com
127.0.0.1 www.ign.com
127.0.0.1 ign.com
127.0.0.1 www.trusteer.com
127.0.0.1 trusteer.com
127.0.0.1 my.webrootanywhere.com
127.0.0.1 www.my.webrootanywhere.com
127.0.0.1 www.webroot.com
127.0.0.1 webroot.com
127.0.0.1 www.techradar.com
127.0.0.1 techradar.com
127.0.0.1 support.microsoft.com
127.0.0.1 www.support.microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 pulse.microsoft.com
127.0.0.1 www.pulse.microsoft.com
127.0.0.1 pcmweb.com
127.0.0.1 www.pcmweb.com
127.0.0.1 www.security.com
127.0.0.1 security.com
127.0.0.1 ccm.net
127.0.0.1 www.ccm.net
127.0.0.1 www.enigmasoftware.com
127.0.0.1 enigmasoftware.com
127.0.0.1 howtoremove.guide
127.0.0.1 www.howtoremove.guide
127.0.0.1 www.2-viruses.com
127.0.0.1 2-viruses.com
127.0.0.1 www.2-spyware.com
127.0.0.1 2-spyware.com
127.0.0.1 sensorstechforum.com
127.0.0.1 www.sensorstechforum.com
127.0.0.1 greatis.com
127.0.0.1 www.greatis.com
127.0.0.1 www.pchubs.com
127.0.0.1 pchubs.com
127.0.0.1 www.pcrisk.com
127.0.0.1 pcrisk.com
127.0.0.1 www.malware-board.com
127.0.0.1 malware-board.com
127.0.0.1 pcthreatskiller.com
127.0.0.1 www.pcthreatskiller.com
127.0.0.1 pcfixhelp.net
127.0.0.1 www.pcfixhelp.net
127.0.0.1 stepsforkillingthreats.com
127.0.0.1 www.stepsforkillingthreats.com
127.0.0.1 www.removemalwarevirus.com
127.0.0.1 removemalwarevirus.com
127.0.0.1 spyware-techie.com
127.0.0.1 www.spyware-techie.com
127.0.0.1 anti-spyware-101.com
127.0.0.1 www.anti-spyware-101.com
127.0.0.1 www.removeallvirus.com
127.0.0.1 removeallvirus.com
127.0.0.1 www.pcthreat.com
127.0.0.1 pcthreat.com
127.0.0.1 www.pcinfectionsupport.com
127.0.0.1 pcinfectionsupport.com
127.0.0.1 www.howtouninstallpcmalware.com
127.0.0.1 howtouninstallpcmalware.com
127.0.0.1 computerprotectionpro.com
127.0.0.1 www.computerprotectionpro.com
(3). 5.exe
首先获取语言代码,根据代码比较是否为指定地区和国家,是则退出执行。
接着搜集多种浏览器历史记录、cookies、密码信息以及数字货币钱包信息、系统信息、邮箱信息(Outlook)、截屏等数据。
将所有信息打包成zip文件,发送到服务器thomasuncas[.]com。
压缩包信息:
{:15_454:}给小姐姐点赞
感觉是俄罗斯人开发的病毒 感谢楼主的分析!分析这么透彻,剩下的就是解密了吧? 啥时候能破解啊
我有部分源文件,不知道能不能分析解密呢 看豁免国好像是原苏联解体后的某个国家的人干的了 娘的 你勒索了毛线啊 老子穷得叮当响了
页:
[1]