FakeParadise勒索病毒样本分析

相关阅读：FakeParadise勒索病毒家族，我是链接请点我

一、        样本信息

文件名：FakeParadise.exe
MD5：211ff7ecfb49394ac4d80da71a89fe18
SHA1：9c94495bbd9fdb5642f45c0b0ef963406a41e0df

二、        代码分析
1．        PE文件释放
FakeParadise执行后释放真正用于文件系统加密的exe文件，并自装载入当前进程执行。

之后会生成随机字母数字串，将当前文件复制到自启动目录下，使用生成的随机字符串重命名。

2．        地区豁免
获取机器的语言ID，如果在属于以下语言ID中，尝试删除自身，退出执行。

• 419：俄文
• 43F：哈萨克语
• 423：白俄罗斯语
• 422：乌克兰语
• 444：塔塔尔语
  

如果病毒继续执行，对当前所属进程的执行权限进行检查。如果当前进程尚未提升至管理员权限，则以”runas”方式重新启动自身。
重起自身时，系统会弹出用户账户控制（UAC）对话框，等待用户选择，一旦用户点击”是”，病毒将以管理员权限执行；如果用户点击”否”，则病毒再次尝试以上行为，若是连续7次被用户拒绝，病毒将以普通权限运行。

程序在管理员权限下运行将拥有更高的文件访问和读写权限，并可以执行诸多高权限操作。
3．        关闭指定进程和服务

病毒通过修改注册表DisableAntiSpyware值禁用Windows Defender。紧接着删除卷影，以免数据可通过卷影恢复。

关闭进程名以如下字符串开头的进程：

• mysql
• IBM
• bes10
• black
• sql
• store.exe
• vee
• postg
• sage
  

接着遍历所有服务，使用murmur3（一种非加密哈希算法，包括32-bit和128-bit两种版本，病毒样本使用32-bit版本）计算服务名的hash值，通过与自身携带的目标hash比较，一旦匹配则关闭该服务。

目标murmur3 hash值共有55个：

关闭进程和服务的目的大多在于解除文件的占用，以进行相关文件的加密。
4．        搜索文件进行加密
搜索文件进行加密时，FakeParadise首先进行本地文件系统的搜寻和加密。本地完成加密后再进行网络资源的枚举。
首先为每个本地固定磁盘、可移动磁盘和网络磁盘分别创建线程进行遍历搜寻加密。

接着是枚举所有网络资源进行加密。

对搜索到的文件，通过比较文件名和文件扩展名，避免对已加密文件（*.Im）、勒索信息文件（---==%$$$OPEN_ME_UP$$$==---.txt）和用户id文件（taridd）进行加密。
对搜索到的目录，将避过以下目录路径及其子文件夹和子文件。

• Windows
• $Recycle.bin
• System Volume Information
• Program Files
• Program Files (x86)
  

5．        文件加密方式
FakeParadise使用salsa20（一种流加密对称算法）加密搜索到的待加密文件。采用32字节随机值作为对称加密全局密钥（所有文件采用同一个salsa20密钥），nonce值使用8字节常量”\x34\x3e\x00\x00\x00\x00\x00\x00”。
加密首先需要将文件内容从磁盘读取到内存，而FakeParadise只读取每个待加密文件首部10240字节（10Kb）内容。也就是说病毒最多加密文件首部10Kb内容，其余部分保持原样。
加密代码如下：

文件加密流程和文件加密后结构如下图：

可以看到除了加密后的内容被写回原文件，在文件尾部还被追加了256字节大小的数据。这些数据是使用硬编码在病毒内部的攻击者RSA（2048-bit）公钥对全局随机密钥进行加密后的内容，共256字节。
病毒内部硬编码RSA（2048-bit）公钥，这种格式公钥用于被Windows CSP（加密服务程序）导入，从而对文件进行加密。公钥格式可见：https://docs.microsoft.com/en-us ... bs#public-key-blobs。

加密文件的同时病毒会在每个可搜索加密的目录下放置一份勒索信息文件---==%$$$OPEN_ME_UP$$$==---.txt，其中包括用户联系攻击者的方式，以及用户的ID（实际只是6个随机字符）。
系统全部加密完成之后，勒索信息文件将被弹出以提醒用户。

6．        自我删除
如果用户机器所在地区处于豁免区域，或者系统中可加密文件全部加密完成，FakeParadise都会尝试删除当前执行路径的自身exe文件。
攻击者的删除方式是通过ping本地ip（127.0.0.1）达到延时效果，之后退出进程，这样在命令del执行时，程序已经退出，病毒文件得以成功删除，而不会出现由于进程未退出而导致删除失败的情况。
但是由于病毒在调用cmd.exe执行命令时未加参数”/c”（执行字符串指定命令然后终止），导致实际上无法删除目标文件。

赞