VoidCrypt勒索病毒样本分析
本帖最后由 Potato 于 2020-11-4 10:44 编辑相关阅读:VoidCrypt勒索病毒家族详情
一、 样本信息
文件名:7d02799d6ff7e9ca5dc363811a65b3f3.exe
MD5:7d02799d6ff7e9ca5dc363811a65b3f3
SHA1:7c0b9cca87924524fbbf5a08cc706d993e06fbdf
二、 代码分析
该病毒主要特征和主流勒索病毒一致,样本使用常见的RSA+AES的加密手段组合,功能实现上使用CryptoPP加密库进行加密,随机数算法使用CryptoPP库函数完成,无显著算法漏洞。
1. 备份目录删除&结束指定服务和进程
病毒执行后,首先进行清场,执行cmd命令,结束特定的服务,删除备份目录。值得注意的是,该样本对备份的删除操作存在问题,导致即使在该样本执行完毕后,“系统保护”中的还原点仍可使用。虽然已无法使用“还原”选项,但可以打开选中的版本,其中备份的数据仍还存在且未被加密。
查找并终止以下进程,以解除对数据库文件的占用,达到更大程度加密高价值数据文件,提高受害者支付率。
[*]sqlserver.exe
[*]msftesql.exe
[*]sqlagent.exe
[*]sqlbrowser.exe
[*]sqlwriter.exe
[*]mysqld.exe
[*]mysqld-nt.exe
[*]mysqld-opt.exe
2. 用户RSA密钥&ID生成
病毒会为用户生成一对2048位的RSA公私钥对,将其中的公钥以PEM格式存储在C:\\programdata\\pubk.txt文件中。而私钥则进行上传至远端服务器。若上传失败,将使用硬编码在程序中的RSA公钥对文件加密密钥进行加密。
该病毒通过将字符串“ 0123456789QWERTYUIOPASDFGHJKLZXCVBNM”随机打乱后,提取前15个字符作为即将被加密设备的ID标识,并保存在C:\\programdata\\IDk.txt文件中。
3. 信息上传
该病毒通过访问www[.]sfml-dev[.]org/ip-provider.php来获取本机的公网IP地址。同时,该病毒还会获取磁盘已使用的空间大小,来估算文件该设备被加密文件的大小,以便后期黑客根据被加密文件总大小来索要等赎金。
获取到所需的信息后,程序将访问hxxps://pastebin[.]com/raw/E1MURCfS获取一个IP地址,分析时返回的IP为94.130.46.*,该IP接收病毒发送的受害机器解密私钥。发送的信息如下:
[*]ip:受害机器公网IP;
[*]disk:被加密设备磁盘已被使用的大小,以GB为单位;
[*]key:用户RSA私钥;
[*]id:用户ID;
[*]mail:攻击者联系邮箱。
[*] 返回数据中的标识:
[*]Active:使用用户RSA公钥进行进行加密;
[*]detive或留空:使用程序中内置的RSA公钥进行加密。
4. 搜索文件进行加密
对磁盘文件搜索时,避过DRIVE_CDROM(光盘驱动器)、DRIVE_RAMDISK(虚拟驱动器)类型的磁盘。
通过匹配文件和目录名,跳过C:\\windows目录,病毒释放的pubk.txt、IDk.txt、!INFO文件,以及.help后缀文件(避免多次加密)。
5. 文件加密方式
病毒会将被加密的文件以 “原文件名.[邮箱]..help“的格式重新命名。然后针对不同大小的文件,病毒会采用不同的处理方式。
1. 当文件小于146.5KB时:直接创建新文件,接着从原文件读取数据,将数据全部加密后写入新文件,并在文件尾部追加解密密钥相关数据259字节,最后清空原文件,再删除;
2. 当文件大于等于146.5KB时:直接从文件头部读取数据,加密后写回原偏移,最多加密390.625KB。最后再重命名文件。
加密文件时采用AES-256对称加密算法的CTR模式。每加密一个文件,即重新生成32字节随机加密密钥,和12字节随机Nonce。每个文件被加密结束后,拼接数据“AES密钥+Nonce+5字节随机字符”,使用RSA公钥对这49字节进行加密。
最后,”yek”+RSA(“AES密钥+Nonce+5字节随机字符”) 共259字节数据写入尾部,用于后续解密。
以大于146.5KB的文件且使用用户RSA公钥的情况为例,加密流程及加密后文件结构如下图:
6. 勒索信息文件
每个被加密目录下都会被放置一个勒索信息文件!INFO.HTA。
黑客邮箱:
drhelmes@aol.com
hosomhelp@aol.com
页:
[1]