关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块ISC活动众测360商城福利换券
本帖最后由 Potato 于 2019-10-31 12:32 编辑
相关阅读:Stop勒索病毒家族,我是链接请点我

一、        样本信息
  1.     文件名:stop
  2.     MD5:ceb6f42385af9b50e8ec132aabac81a9
  3.     SHA1:e840910afdf0062495fee67486970b4bb9e59f18
复制代码
二、        代码分析
1.        文件释放
    Stop运行之后,首先解密释放一个PE文件到内存,并装载至当前进程空间执行。通过这种方法躲避杀软的静态扫描检查。

360社区

360社区

360社区

360社区

    病毒在执行时还会检查当前所属进程的执行权限。如果当前进程非管理员权限,则以管理员权限方式重新启动自身。
    重新以管理员权限运行自身时,系统会弹出用户账户控制(UAC)对话框,等待用户选择,一旦用户点击”是”,病毒将以管理员权限执行;如果用户点击”否”,即新起病毒进程未通过UAC,程序则以普通权限运行。
    病毒在管理员权限下运行将拥有更高的文件访问和读写权限,并可以执行诸多高权限操作。

360社区

360社区

360社区

360社区


2.        区域豁免
    访问网址https://api.2ip[.]ua/geo.json,获取用户所在地区/国家代码。

360社区

360社区

根据该网址返回的国家代码,判断豁免以下地区:
  • RU:俄罗斯
  • BY:白俄罗斯
  • UA:乌克兰
  • AZ:阿塞拜疆
  • AM:亚美尼亚
  • TJ:塔吉克斯坦
  • KZ:哈萨克斯坦
  • KG:吉尔吉斯斯坦
  • UZ:乌兹别克

    另外在样本中还列出了叙利亚国家代码SY,但是并没有对该代码进行比较,也就是说实际并未豁免叙利亚。
如果机器所在地区属于豁免名单中,那么Stop将删除自身并退出执行。首先在%temp%目录下创建windows批处理文件delself.bat,然后执行该文件。文件内容如下,脚本最终会将Stop程序和bat文件自身全部删除。
  1. @echo off
  2. :try
  3. del %STOP_PATH%
  4. if exist %STOP_PATH% goto try
  5. del C:\Users\%username%\AppData\Local\Temp\delself.bat
复制代码


360社区

360社区


3.        自启动
    STOP会为当前进程创建一个UUID,利用UUID创建目录”%localappdata%\UUID”,并复制自身到该目录下,为复制后的新文件路径创建名为”SysHelper”的自启动项,添加启动时执行参数”--AutoStart”。

360社区

360社区


    执行下面的指令,该指令将设置UUID命名的新文件夹访问权限为不可删除。
  1. icacls C:\Users\%username%\AppData\Local\UUID /deny *S-1-1-0:(OI)(CI)(DE,DC)
复制代码


360社区

360社区


    使用系统COM接口创建计划任务” Time Trigger Task”,每五分钟执行一次,执行病毒程序,参数为”--Task”。

360社区

360社区


4.        RSA公钥和用户id
    获取当前机器的MAC地址,计算MAC地址的MD5摘要值。接着访问URI:http://ring1[.]ug/sfdgsgdfhsgdhpenelop9/sgfdfgh/get.php,将MAC地址摘要值作为该GET请求的pid参数值;另一个参数first,其值由注册表键HKCU\Software\Microsoft\Windows\CurrentVersion\SysHelper的DWORD值确定,当SysHelper为1,first参数为true,否则为false。样本在初次访问时first=true。
  1. 例如:
  2. http://ring1[.]ug/sfdgsgdfhsgdhpenelop9/sgfdfgh/get.php?pid=BEC3599AD7B40C4D9FC69C16C51F3B28&first=false
复制代码


    下载URI资源,保存为文件%LocalAppData%\bowsakkdestx.txt。

360社区

360社区


    观察返回的结果,可以看到其中包括两个元素:RSA Public Key(PEM格式)和id。可合理推测:借由系统MAC地址的MD5摘要值,远程服务器为用户生成RSA公钥(1024-bit)和id,并下发到本地。若连续尝试访问远程服务器4次均失败,则使用本地硬编码的RSA公钥和id进行后续加密流程。
用户RSA公钥将用于加密文件加密密钥,id则作为用户标识。

360社区

360社区


5.        搜索文件进行加密
    搜索目标包括可枚举的网络资源和本地目录。

360社区

360社区


    Stop对于指定类型文件或者目录将不进行搜寻和加密,以免影响系统正常运行。
其中避免加密的文件名包括:
  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol
  • _readme.txt(勒索信息文件名)


避免加密的文件扩展名包括:
  • .sys
  • .ini
  • .DLL
  • .dll
  • .blf
  • .bat
  • .lnk
  • .regtrans-ms
  • .nols(已加密文件扩展名)


    避免搜寻加密的目录相对较多,主要包括系统目录和用户目录,如C:\Windows\、C:\Users\All Users\等。

360社区

360社区



6.        文件加密
    获取文件大小,当文件过小不进行加密,在添加扩展名”.nols”后返回。

360社区

360社区


    接着读取文件尾部38字节内容,如果等于标识字符串{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5},说明文件曾被加密过,不再进行加密。

360社区

360社区


    对可加密文件,调用UuidCreate函数为每个加密文件生成不同uuid并转化为36字节字符串,取前32字节作为salsa20(对称加密算法)密钥,初始向量为uuid的前8字节。例如:

360社区

360社区


    扩展后的密钥组成如下:

360社区

360社区

    正式使用salsa20对文件内容进行加密时,最多只加密文件内容从第6个字节开始的150Kb内容,即首部的5字节不进行加密。
然后使用下载文件bowsakkdestx.txt 中RSA(非对称加密算法)公钥加密uuid(即密钥和初始变量)。
文件加密代码如下:

360社区

360社区


    加密流程以及加密文件结构如下图:

360社区

360社区


加密后文件尾部示例:

360社区

360社区


7.        勒索信息文件
    Stop会在每个磁盘和用户目录下创建一个勒索信息文件,文件含有用户的id,由常量”0173HfghP”+服务器下发的id组成。

360社区

360社区


8.        其他程序的下载和执行
Stop病毒会解出以下URI,访问资源并下载执行,但是仅资源updatewin1.exe、updatewin2.exe和5.exe可下载。
  • http://ring1[.]ug/files/penelop/updatewin1.exe
  • http://ring1[.]ug/files/penelop/updatewin2.exe
  • http://ring1[.]ug/files/penelop/updatewin.exe
  • http://ring1[.]ug/files/penelop/3.exe
  • http://ring1[.]ug/files/penelop/4.exe
  • http://ring1[.]ug/files/penelop/5.exe


360社区

360社区



(1). updatewin1.exe
    利用powershell添加文件执行策略,对于网上下载脚本,需要其携带被信任的签名才能被执行。

360社区

360社区


    释放powershell脚本.ps1,功能是关闭windows defender的实时保护:
  1. Set-MpPreference -DisableRealtimeMonitoring $true
复制代码


360社区

360社区


    以管理员权限执行.ps1。

360社区

360社区


    禁用任务管理器。

360社区

360社区



最后删除自身,删除方式和stop一致,创建delself.bat执行。
(2). updatewin2.exe
    修改hosts文件,将各个反病毒厂商对应的网站指向本地,使用户无法访问对应的网站。修改后的hosts文件如下:
  1. 127.0.0.1        ds.download.windowsupdate.com
  2. 127.0.0.1        www.update.microsoft.com
  3. 127.0.0.1        download.windowsupdate.com
  4. 127.0.0.1        fe2.update.microsoft.com
  5. 127.0.0.1        whoer.net
  6. 127.0.0.1        www.whoer.net
  7. 127.0.0.1        windowsupdate.com
  8. 127.0.0.1        www.windowsupdate.com
  9. 127.0.0.1        microsoft.com
  10. 127.0.0.1        www.microsoft.com
  11. 127.0.0.1        www.windowsupdate.com
  12. 127.0.0.1        windowsupdate.com
  13. 127.0.0.1        www.microsoft.com
  14. 127.0.0.1        www.360totalsecurity.com
  15. 127.0.0.1        360totalsecurity.com
  16. 127.0.0.1        www.gratissoftwaresite.com
  17. 127.0.0.1        gratissoftwaresite.com
  18. 127.0.0.1        tweakers.net
  19. 127.0.0.1        www.tweakers.net
  20. 127.0.0.1        www.avg.com
  21. 127.0.0.1        avg.com
  22. 127.0.0.1        www.bestevirusscanner.net
  23. 127.0.0.1        bestevirusscanner.net
  24. 127.0.0.1        www.consumentenbond.nl
  25. 127.0.0.1        consumentenbond.nl
  26. 127.0.0.1        cheaplicensing.com
  27. 127.0.0.1        www.cheaplicensing.com
  28. 127.0.0.1        global.ahnlab.com
  29. 127.0.0.1        www.global.ahnlab.com
  30. 127.0.0.1        www.ahnlab.com
  31. 127.0.0.1        ahnlab.com
  32. 127.0.0.1        downloads.tomsguide.com
  33. 127.0.0.1        www.downloads.tomsguide.com
  34. 127.0.0.1        www.download82.com
  35. 127.0.0.1        download82.com
  36. 127.0.0.1        download.cnet.com
  37. 127.0.0.1        www.download.cnet.com
  38. 127.0.0.1        www.avast.com
  39. 127.0.0.1        avast.com
  40. 127.0.0.1        support.avast.com
  41. 127.0.0.1        www.support.avast.com
  42. 127.0.0.1        www.consumentenbond.com
  43. 127.0.0.1        consumentenbond.com
  44. 127.0.0.1        www.goedkoopsteantivirus.com
  45. 127.0.0.1        goedkoopsteantivirus.com
  46. 127.0.0.1        www.toptenreviews.com
  47. 127.0.0.1        toptenreviews.com
  48. 127.0.0.1        www.antivirus.nl
  49. 127.0.0.1        antivirus.nl
  50. 127.0.0.1        www.bol.com
  51. 127.0.0.1        bol.com
  52. 127.0.0.1        www.avira.com
  53. 127.0.0.1        avira.com
  54. 127.0.0.1        www.bitdefender.com
  55. 127.0.0.1        bitdefender.com
  56. 127.0.0.1        licentie2go.com
  57. 127.0.0.1        www.licentie2go.com
  58. 127.0.0.1        www.bullguard.com
  59. 127.0.0.1        bullguard.com
  60. 127.0.0.1        www.kpn.com
  61. 127.0.0.1        kpn.com
  62. 127.0.0.1        virusscanner.software
  63. 127.0.0.1        www.virusscanner.software
  64. 127.0.0.1        www.comodo.com
  65. 127.0.0.1        comodo.com
  66. 127.0.0.1        www.drweb.com
  67. 127.0.0.1        drweb.com
  68. 127.0.0.1        download.drweb.com
  69. 127.0.0.1        www.download.drweb.com
  70. 127.0.0.1        vms.drweb.com
  71. 127.0.0.1        www.vms.drweb.com
  72. 127.0.0.1        alternativeto.ne
  73. 127.0.0.1        www.alternativeto.ne
  74. 127.0.0.1        softonic.com
  75. 127.0.0.1        www.softonic.com
  76. 127.0.0.1        www.softpedia.com
  77. 127.0.0.1        softpedia.com
  78. 127.0.0.1        www.flipkart.com
  79. 127.0.0.1        flipkart.com
  80. 127.0.0.1        virustotal.com
  81. 127.0.0.1        www.virustotal.com
  82. 127.0.0.1        www.emsisoft.com
  83. 127.0.0.1        emsisoft.com
  84. 127.0.0.1        www.antimalwaresoftware.com
  85. 127.0.0.1        antimalwaresoftware.com
  86. 127.0.0.1        www.pcwebplus.com
  87. 127.0.0.1        pcwebplus.com
  88. 127.0.0.1        www.pcmag.com
  89. 127.0.0.1        pcmag.com
  90. 127.0.0.1        www.eset.com
  91. 127.0.0.1        eset.com
  92. 127.0.0.1        www.surfspot.com
  93. 127.0.0.1        surfspot.com
  94. 127.0.0.1        www.topantivirus.com
  95. 127.0.0.1        topantivirus.com
  96. 127.0.0.1        www.techzine.com
  97. 127.0.0.1        techzine.com
  98. 127.0.0.1        www.eset.com
  99. 127.0.0.1        eset.com
  100. 127.0.0.1        www.fortinet.com
  101. 127.0.0.1        fortinet.com
  102. 127.0.0.1        fortiguard.com
  103. 127.0.0.1        www.fortiguard.com
  104. 127.0.0.1        forticlient.com
  105. 127.0.0.1        www.forticlient.com
  106. 127.0.0.1        www.kpn.com
  107. 127.0.0.1        kpn.com
  108. 127.0.0.1        www.kaspersky.com
  109. 127.0.0.1        kaspersky.com
  110. 127.0.0.1        www.consumentenbond.com
  111. 127.0.0.1        consumentenbond.com
  112. 127.0.0.1        www.surfspot.com
  113. 127.0.0.1        surfspot.com
  114. 127.0.0.1        www.topreviews.com
  115. 127.0.0.1        topreviews.com
  116. 127.0.0.1        www.amecomputers.com
  117. 127.0.0.1        amecomputers.com
  118. 127.0.0.1        www.instantsoftware.com
  119. 127.0.0.1        instantsoftware.com
  120. 127.0.0.1        www.malwarebytes.com
  121. 127.0.0.1        malwarebytes.com
  122. 127.0.0.1        www.malwarebytes.org
  123. 127.0.0.1        malwarebytes.org
  124. 127.0.0.1        download.cnet.com
  125. 127.0.0.1        www.download.cnet.com
  126. 127.0.0.1        www.bleepingcomputer.com
  127. 127.0.0.1        bleepingcomputer.com
  128. 127.0.0.1        www.majorgeeks.com
  129. 127.0.0.1        majorgeeks.com
  130. 127.0.0.1        www.seniorweb.com
  131. 127.0.0.1        seniorweb.com
  132. 127.0.0.1        www.amazon.com
  133. 127.0.0.1        amazon.com
  134. 127.0.0.1        www.techspot.com
  135. 127.0.0.1        techspot.com
  136. 127.0.0.1        filehippo.com
  137. 127.0.0.1        www.filehippo.com
  138. 127.0.0.1        www.idealsoftware.com
  139. 127.0.0.1        idealsoftware.com
  140. 127.0.0.1        uptodown.com
  141. 127.0.0.1        www.uptodown.com
  142. 127.0.0.1        www.mcafee.com
  143. 127.0.0.1        mcafee.com
  144. 127.0.0.1        home.mcafee.com
  145. 127.0.0.1        www.home.mcafee.com
  146. 127.0.0.1        www.coolblue.com
  147. 127.0.0.1        coolblue.com
  148. 127.0.0.1        www.pcmag.com
  149. 127.0.0.1        pcmag.com
  150. 127.0.0.1        www.sky.com
  151. 127.0.0.1        sky.com
  152. 127.0.0.1        norton.com
  153. 127.0.0.1        www.norton.com
  154. 127.0.0.1        www.kieskeurig.com
  155. 127.0.0.1        kieskeurig.com
  156. 127.0.0.1        internetsecurity.xfinity.com
  157. 127.0.0.1        www.internetsecurity.xfinity.com
  158. 127.0.0.1        www.symantec.com
  159. 127.0.0.1        symantec.com
  160. 127.0.0.1        www.campusshop.com
  161. 127.0.0.1        campusshop.com
  162. 127.0.0.1        www.pandasecurity.com
  163. 127.0.0.1        pandasecurity.com
  164. 127.0.0.1        www.paradigit.com
  165. 127.0.0.1        paradigit.com
  166. 127.0.0.1        www.sophos.com
  167. 127.0.0.1        sophos.com
  168. 127.0.0.1        home.sophos.com
  169. 127.0.0.1        www.home.sophos.com
  170. 127.0.0.1        sophos.virtualsecurity.com
  171. 127.0.0.1        www.sophos.virtualsecurity.com
  172. 127.0.0.1        www.gratissoftware.com
  173. 127.0.0.1        gratissoftware.com
  174. 127.0.0.1        www.seniorweb.com
  175. 127.0.0.1        seniorweb.com
  176. 127.0.0.1        www.softwareadvice.com
  177. 127.0.0.1        softwareadvice.com
  178. 127.0.0.1        www.symantec.com
  179. 127.0.0.1        symantec.com
  180. 127.0.0.1        hostedendpoint.spn.com
  181. 127.0.0.1        www.hostedendpoint.spn.com
  182. 127.0.0.1        www.g2crowd.com
  183. 127.0.0.1        g2crowd.com
  184. 127.0.0.1        www.trendmicro.com
  185. 127.0.0.1        trendmicro.com
  186. 127.0.0.1        www.goedkoopsteantivirus.com
  187. 127.0.0.1        goedkoopsteantivirus.com
  188. 127.0.0.1        download.cnet.com
  189. 127.0.0.1        www.download.cnet.com
  190. 127.0.0.1        www.ign.com
  191. 127.0.0.1        ign.com
  192. 127.0.0.1        www.trusteer.com
  193. 127.0.0.1        trusteer.com
  194. 127.0.0.1        my.webrootanywhere.com
  195. 127.0.0.1        www.my.webrootanywhere.com
  196. 127.0.0.1        www.webroot.com
  197. 127.0.0.1        webroot.com
  198. 127.0.0.1        www.techradar.com
  199. 127.0.0.1        techradar.com
  200. 127.0.0.1        support.microsoft.com
  201. 127.0.0.1        www.support.microsoft.com
  202. 127.0.0.1        www.microsoft.com
  203. 127.0.0.1        microsoft.com
  204. 127.0.0.1        pulse.microsoft.com
  205. 127.0.0.1        www.pulse.microsoft.com
  206. 127.0.0.1        pcmweb.com
  207. 127.0.0.1        www.pcmweb.com
  208. 127.0.0.1        www.security.com
  209. 127.0.0.1        security.com
  210. 127.0.0.1        ccm.net
  211. 127.0.0.1        www.ccm.net
  212. 127.0.0.1        www.enigmasoftware.com
  213. 127.0.0.1        enigmasoftware.com
  214. 127.0.0.1        howtoremove.guide
  215. 127.0.0.1        www.howtoremove.guide
  216. 127.0.0.1        www.2-viruses.com
  217. 127.0.0.1        2-viruses.com
  218. 127.0.0.1        www.2-spyware.com
  219. 127.0.0.1        2-spyware.com
  220. 127.0.0.1        sensorstechforum.com
  221. 127.0.0.1        www.sensorstechforum.com
  222. 127.0.0.1        greatis.com
  223. 127.0.0.1        www.greatis.com
  224. 127.0.0.1        www.pchubs.com
  225. 127.0.0.1        pchubs.com
  226. 127.0.0.1        www.pcrisk.com
  227. 127.0.0.1        pcrisk.com
  228. 127.0.0.1        www.malware-board.com
  229. 127.0.0.1        malware-board.com
  230. 127.0.0.1        pcthreatskiller.com
  231. 127.0.0.1        www.pcthreatskiller.com
  232. 127.0.0.1        pcfixhelp.net
  233. 127.0.0.1        www.pcfixhelp.net
  234. 127.0.0.1        stepsforkillingthreats.com
  235. 127.0.0.1        www.stepsforkillingthreats.com
  236. 127.0.0.1        www.removemalwarevirus.com
  237. 127.0.0.1        removemalwarevirus.com
  238. 127.0.0.1        spyware-techie.com
  239. 127.0.0.1        www.spyware-techie.com
  240. 127.0.0.1        anti-spyware-101.com
  241. 127.0.0.1        www.anti-spyware-101.com
  242. 127.0.0.1        www.removeallvirus.com
  243. 127.0.0.1        removeallvirus.com
  244. 127.0.0.1        www.pcthreat.com
  245. 127.0.0.1        pcthreat.com
  246. 127.0.0.1        www.pcinfectionsupport.com
  247. 127.0.0.1        pcinfectionsupport.com
  248. 127.0.0.1        www.howtouninstallpcmalware.com
  249. 127.0.0.1        howtouninstallpcmalware.com
  250. 127.0.0.1        computerprotectionpro.com
  251. 127.0.0.1        www.computerprotectionpro.com
复制代码

(3). 5.exe
    首先获取语言代码,根据代码比较是否为指定地区和国家,是则退出执行。

360社区

360社区


    接着搜集多种浏览器历史记录、cookies、密码信息以及数字货币钱包信息、系统信息、邮箱信息(Outlook)、截屏等数据。
将所有信息打包成zip文件,发送到服务器thomasuncas[.]com。

360社区

360社区



360社区

360社区


    压缩包信息:

360社区

360社区


共 1 个关于Stop勒索病毒样本分析的回复 最后回复于 2019-10-31 12:23

评论

直达楼层

简简单单chao 产品答疑师 发表于 2019-10-31 12:23 | 显示全部楼层 | 私信
给小姐姐点赞
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Potato 产品答疑师

粉丝:8 关注:0 积分:4674

精华:0 金币:3044 经验:3108

最后登录时间:2020-8-7

私信 加好友

最新活动

ISC

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表