请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
本帖最后由 Potato 于 2021-11-25 18:59 编辑
相关阅读:Magniber勒索病毒家族详情

一、        概述
Magniber勒索软件在2017年首次被发现使用名为Magnitude Exploit Kit攻击包对韩国用户进行攻击,后续也被发现同样会攻击其他亚太地区国家,并且积极使用IE漏洞进行勒索软件的下发。
此次分析的样本rrthp.inf属于Magniber勒索病毒家族,出现于今年11月的勒索攻击中。攻击活动中涉及到今年曝出的MSHTML RCE漏洞CVE-2021-40444、CVE-2021-26411和打印机漏洞PrintNightmare。
攻击中下发的勒索加密模块以DLL形式被加载运行。Magniber对投放的勒索样本进行了高度的混淆和加密,借此躲避各杀软的扫描和检测,比如其中一种在SysWhisper中使用到的syscall直接调用以绕过AV/EDR的方法,在此次样本执行过程中被积极使用。

二、代码分析
rrthp.inf作为DLL,完全使用shellcode形式执行,不涉及导入导出表。在主函数中,多层解密解压shellcode到内存执行。并且为了更好地降低自身被内存代码检测引擎发现的风险,Magniber并不通过直接调用API实现相应功能,而是模拟相应API在ntdll中的行为,传入参数,然后指定syscall ID,直接手动调用syscall,同样可以实现直接调用系统API的作用。
由于windows不同版本syscall Table的差异,Magniber指定syscall ID时会先判断系统版本。获取对应syscall ID后,构造一个syscall调用片段,比如NtOpenProcess的调用涉及system call代码片段构造和system call的调用:

360社区

360社区

360社区

360社区



DLL执行后,被解压的shellcode首先会枚举当前的活动进程,对于非system权限且非WOW64进程尝试注入。

360社区

360社区



被注入的shellcode经过再一次解密后,同样出于躲避检测等目的,Magniber将使用提前存储的Metasploit ROR13 hash值寻找需要的API,执行时动态调用。

360社区

360社区

以名为“gihmepi”的互斥量保证shellcode的单例运行。

360社区

360社区

1.        搜索文件进行加密
相比于其他勒索病毒,Magniber没有进程和服务中止关闭等操作,直接开始搜索文件进行加密。分为两次,首次搜索加密小文件,第二次搜索加密大文件。

360社区

360社区

Magniber通过文件后缀名进行类型判断,且后缀名大于5的文件将被跳过。比较方式是通过对目标文件的后缀名字符串进行计算后,和内嵌的数值进行比较,命中则说明文件为加密目标类型,否则跳过。计算方式类似于27进制转化,代码置于文末。

360社区

360社区

病毒自带的预计算的目标值(部分):

360社区

360社区

通过枚举,可以还原出其中部分可命中的后缀名。首先是小文件的后缀名:

360社区

360社区

其次是大文件后缀名:
gz,arc,asf,avi,bak,bmp,fla,flv,gif,iso,jpg,mid,mkv,mov,mpg,paq,png,rar,swf,tar,tbk,tgz,tif,vcd,vob,wav,wma,wmv,zip,jpeg,mpeg,tiff,vmdk
2.        文件加密
加密文件时使用RSA+AES的加密方案。AES加密时使用的Key和IV为随机值,由RtlRandomEx和GetTickCount配合生成,长度皆为16字节,每个文件生成不同的Key和IV。

360社区

360社区

每次读取1MB内容到内存进行加密,反复读取直至读取止文件尾部。

360社区

360社区

文件内容数据加密完成后,使用内置的RSA-2048公钥对AES密钥和IV进行加密,加密结果共256字节写入文件尾部。

360社区

360社区

最后为文件添加扩展名”.gihmepi”。
3.信息上传
所有目标文件加密完成后,通过cmd中start命令启动默认浏览器访问网址,实现加密情况信息的上传,url字符为”<文件名后缀>&<加密的磁盘数量>&<加密的字节数>&<加密成功>&<找到的目标文件数量>&系统版本(win10为“23”,老版本为”12”)”。

360社区

360社区

4.        卷影删除
为防止数据通过备份恢复,Magniber通过vssadmin.exe删除卷影备份。并且会利用系统中autoElevate程序进行UAC Bypass,以管理员权限进行卷影删除。
如果机器为win10,设置以下注册表项:
HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command\\DelegateExecute
HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command\\ (Default)
配合执行computerdefaults.exe,实现注册表中设置的命令行执行,完成卷影的删除。
如果机器是更早的版本,使用注册表项为:
HKCU\\Software\\Classes\\mscfile\\shell\\open\\command
执行CompMgmtLauncher.exe实现以管理员身份命令执行。

360社区

360社区

5.        勒索信
每个被加密目录下会被释放一个勒索提示文件,文件最后加密完成后会被弹出以提示用户。在勒索信文件中,用户ID作为三级域名放置在链接中(本例中为1c347ed04ac46af068gihmepi),由系统磁盘卷序列号和计算机名计算得到。

360社区

360社区


勒索信内容(用户ID会变化):
ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.

The only 1 way to decrypt your files is to receive the private key and decryption program.

Any attempts to restore your files with the third party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:

1. Download Tor Browser from https://www.torproject.org/ and install it.

2. In the Tor Browser open your personal page here:


http://1c347ed04ac46af068gihmepi ... ng3ad.onion/gihmepi


Note! This page is available via Tor Browser only.
====================================================================================================
Also you can use temporary addresses on your personal page without using Tor Browser:


http://1c347ed04ac46af068gihmepi.hateme.uno/gihmepi

http://1c347ed04ac46af068gihmepi.oddson.quest/gihmepi

http://1c347ed04ac46af068gihmepi.dearbet.sbs/gihmepi

http://1c347ed04ac46af068gihmepi.legcore.space/gihmepi


Note! These are temporary addresses! They will be available for a limited amount of time!

后缀计算代码
def calc(s):
    sum = 0
    base=1
    for c in s.lower()[::-1]:
        sum += (ord(c)-0x60)*base
        #print 'sum : ' + hex(sum) + '  base: ' + hex(base)
        base *= 27
    return sum

共 13 个关于Magniber勒索病毒样本分析的回复 最后回复于 2022-6-26 01:19

评论

直达楼层

360fans_LFBSV3 LV1.上等兵 发表于 2021-11-25 23:43 | 显示全部楼层 | 私信
本帖最后由 360fans_LFBSV3 于 2021-11-25 23:47 编辑

360社区

360社区

我中招了,收到的readme文件格式一样,网址也一样 。请问能否解密
CEN_892 LV1.上等兵 后缀名.zftmlqg,有知道的吗 
2022-5-24 14:25回复
360fans_REkWoN LV1.上等兵 我也中招了,你们怎么处理的? 
2022-1-5 13:50回复
360fans_T927cx LV2.下士 回复铭天广告:你的处理好了没 
2021-12-12 15:08回复
360fans_T927cx LV2.下士 你的处理好了吗? 
2021-12-11 15:25回复
360fans_OeNUL4 LV1.上等兵 回复铭天广告:你的处理了么 
2021-12-10 22:03回复
还有1条评论,点击加载更多
360fans_LFBSV3 LV1.上等兵 发表于 2021-11-25 23:49 | 显示全部楼层 | 私信
我中招了 ,留下的readme文件中网址一样,请问有解密方案吗?
S.AlonCheng LV1.上等兵 我也中招 跟你一样,你的解密了没 
2021-12-12 19:31回复
360fans_T927cx LV2.下士 你的处理好了吗? 
2021-12-11 15:25回复
360fans106350227 LV1.上等兵 发表于 2021-11-29 14:57 | 显示全部楼层 | 私信
我中招了,中了勒索病毒,.mkp文件 如何解密?有办法吗?
360fans_T927cx LV2.下士 你的处理好了吗? 
2021-12-11 15:25回复
360fans_uid48746230 LV1.上等兵 发表于 2021-11-29 21:49 | 显示全部楼层 | 私信
同样的情况,有解决的办法吗?
360fans_T927cx LV2.下士 你的处理好了吗? 
2021-12-11 15:26回复
360fans198300908 LV1.上等兵 发表于 2021-12-9 10:28 | 显示全部楼层 | 私信
期望360尽快推出解密服务,有偿也可以,实在不敢找其他网上的解密公司解密啊,他们估计也是上连接买黑客的解密器,怕给了钱还是解不了。
360fans_OeNUL4 LV1.上等兵 发表于 2021-12-10 20:01 | 显示全部楼层 | 私信
请问有解决的了么我也是,除了网址不一样
360fans_T927cx LV2.下士 你的处理好了吗? 
2021-12-11 15:26回复
360fans2508623781 LV2.下士 发表于 2021-12-22 09:34 | 显示全部楼层 | 私信
我昨晚中招,doc,pdf等文件加密,后缀fkspkzd,留下了几乎一样的readme文件,现在出解决办法了吗?
360fans_t17Lal LV1.上等兵 我和你一样 昨天下午中毒 ,在前几天就有一台电脑中毒 然后找修复数据师恢复了一小部分 绝大部分还是不行 
2021-12-22 10:03回复
360fans2508623781 LV2.下士 发表于 2021-12-22 10:07 | 显示全部楼层 | 私信
期待360解密大师,尽快推出解决办法。
360fans_SQ5Z0l LV2.下士 发表于 2022-1-7 11:49 | 显示全部楼层 | 私信
进no more ransom官网,已经提供了解码工具
360fans2508623781 LV2.下士 https://seed.kisa.or.kr/kisa/Board/56/detailView.do这个网页里的decrypt magniber(.kgpvwnr).zip,2019年9月发布的,可能对新的Magniber 勒索软件没有作用,在win7运行就闪退,不起作用。 
2022-1-13 22:51回复
360fans_Xvgp4O LV2.下士 发表于 2022-5-12 22:51 | 显示全部楼层 | 私信
我中了后缀是tdmrpbe的
360fans_uid2834324 LV2.下士 发表于 2022-6-6 11:24 | 显示全部楼层 | 私信
我也中招了 ,后缀为.ktrbtollm ,有没有解码工具
360fans_u47423922 LV1.上等兵 发表于 2022-6-7 15:52 | 显示全部楼层 | 私信
我被加密的文件后缀是qzhbovxwg。readme的内容和付款的地址完全一样。
虽然已经推测出来源是哪里了,但还是有点心态爆炸……
360fans_uid51132560 LV1.上等兵 发表于 2022-6-26 01:19 | 显示全部楼层 | 私信
是否有办法进行解密?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Potato 产品答疑师

粉丝:9 关注:0 积分:11094

精华:0 金币:11746 经验:6922

最后登录时间:2024-3-28

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表