Crysis勒索病毒样本分析

相关阅读：
Crysis勒索病毒家族详情
CrysisV2勒索病毒样本分析
一、        样本信息

• 样本名：Crysis.exe
• MD5：83a63fec6fe2ee87fc42dd2f857dde41
• SHA1：67fed3a049747c69929ec1ed711a3d41f3baafc5
  

二、        样本分析
1.        释放文件
CrySis通过shellcode释放自身携带的真正加密程序，并装载进当前程序进程执行。

病毒在执行过程中，会尝试使用“runas”方式提升权限运行自身可执行文件，用户一旦点击确认允许运行，病毒将以管理员权限执行。

2.        关闭指定服务和进程
CrySis中的字符串全部使用RC4对称加密算法加密。
使用自带的对称密钥解密出进程名和服务名字符串，根据字符串关闭本地机器中对应的进程和服务。
进程名：

• 1c8.exe;1cv77.exe
• outlook.exe
• postgres.exe
• mysqld-nt.exe
• mysqld.exe
• sqlservr.exe
  

服务名：

• FirebirdGuardianDefaultInstance
• FirebirdServerDefaultInstance
• sqlwriter
• mssqlserver
• sqlserveradhelper
  

在之后的执行中，程序还会创建一个线程不断地重复关闭，以保证加密以上程序所属文件时无法写入。

3.        自启动和卷影的删除
复制文件到本地系统目录（C:\windows\system32）和自启动目录下，为系统目录下的病毒程序设置自启动；在将自身复制到系统目录下前，Crysis先调用API Wow64DisableWow64FsRedirection关闭系统目录的重定向，复制到C:\windows\system32下后恢复。

删除卷影以免被加密文件恢复。

4.        文件遍历
CrySis分别对网络资源和本地文件目录进行遍历，搜索可加密文件。搜索过程中过滤掉系统目录（C:\Windows）、已加密文件（.harma）以及指定的文件或程序名。

• boot.ini
• bootfont.bin
• ntldr
• ntdetect.com
• io.sys
• FILESENCRYPTED.txt（勒索提示文件）
• Info.hta（勒索信息文件）
  

5.        文件加密
病毒在加密文件时，通过之前解出的128字节的rc4对称密钥解密出病毒程序携带的攻击者非对称加密公钥（RSA 1024 bits）。

然后利用摘要算法SHA1和部分随机值生成一个32字节随机对称加密密钥（AES 256，CBC模式），该密钥用于加密文件使用，该密钥是作为全局密钥使用，即所有待加密文件都将使用该密钥进行加密，只是在加密时每个文件会单独生成一个16字节随机初始变量。
获取磁盘序列号，病毒将会利用RSA公钥对【’\x00’+’\x02’+89字节随机值+’\x00’+全局随机AES密钥+系统磁盘序列号】共128字节进行加密，加密结果放入被加密文件尾部。

在文件尾部，将会记录以下信息：

• 原文件名
• 字符串“X2R0E9”
• 攻击者RSA公钥的SHA摘要值
• AES初始向量
• Padding字节数（16字节对齐）
• RSA Enc（’\x00’+’\x02’+89字节随机值+’\x00’+随机AES密钥+系统磁盘序列号）
• 原文件名长度+0x20（原文件小于1.5Mb）/0xc0038（原文件大于1.5Mb）
  

加密完成之后的文件名添加后缀：
.id- + hex_str(systemDriveSerialNumber) + [.bitcoin1@foxmail.com].harma
CrySis勒索病毒加密流程以及加密后文件格式如下图所示：

6.        勒索信息文件
在所有文件加密完成之后，病毒在桌面和每个磁盘根目录下生成文本文件“FILES ENCRYPTED.txt”。

程序根据用户机器的系统磁盘序列号在自启动目录下生成勒索信息提示文件“Info.hta”并设置自启动，最后执行该文件以提醒用户。