Medusalocker勒索病毒样本分析

MedusaLocker勒索病毒介绍
相关阅读：Medusalocker勒索病毒，我是链接请点我
样本信息

文件名：MedusaLocker.exe
MD5：45E04DC2CEAA6517BC4C2067677260FC
SHA1：0A2198DA09D38EAEE5CBEBBD8FE286C00D0E6F96

病毒危害解析
获取管理员权限&留下标记
MedusaLocker会判断当前进程是否有管理员权限。如果病毒进程只有普通用户权限，则尝试以管理员权限通过新起执行一个相同的MedusaLocker进程。而新启动的进程会尝试绕该系统的管理功能，确保顺利提升至管理员权限。

成功执行后的病毒进程会创建注册表项HKCU\\SOFTWARE\\Medusa，设置键Name的值为当前进程的执行文件名。

关闭UAC
如果进程拥有管理员权限，病毒会通过修改注册表来关闭系统的用户账户控制系统（UAC）。
病毒自启动
病毒将自身复制为C:\\Users\\<UserName>\\AppData\\Roaming\\svchostt.exe。再在计划任务中创建名为” svchostt”的计划任务，无限期每隔15分钟执行一次C:\\Users\\<UserName>\\AppData\\Roaming\\svchostt.exe。

关闭并删除指定服务和进程
关闭和删除的目标主要与数据库、反病毒、网站服务器和虚拟机等相关。关闭前，病毒会预先尝试停止依赖于目标的子服务。目标服务如下：

• wrapper
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• sqlservr
• sqlagent
• sqladhlp
• Culserver
• RTVscan
• sqlbrowser
• SQLADHLP
• QBIDPService
• Intuit.QuickBooks.FCS
• QBCFMonitorService
• sqlwriter
• msmdsrv
• tomcat6
• zhudongfangyu
• SQLADHLP
• vmware-usbarbitator64
• vmware-converter
• dbsrv12
• dbeng8
  

进程方面，病毒则会尝试终止反病毒、编辑工具、数据库服务、网站服务等相关进程。尝试终止的目标进程如下：

• wxServer.exe
• wxServerView
• sqlservr.exe
• sqlmangr.exe
• RAgui.exe
• supervise.exe
• Culture.exe
• RTVscan.exe
• Defwatch.exe
• sqlbrowser.exe
• winword.exe
• QBW32.exe
• QBDBMgr.exe
• qbupdate.exe
• QBCFMonitorService.exe
• axlbridge.exe
• QBIDPService.exe
• httpd.exe
• fdlauncher.exe
• MsDtSrvr.exe
• tomcat6.exe
• java.exe
• 360se.exe
• 360doctor.exe
• wdswfsafe.exe
• fdlauncher.exe
• fdhost.exe
• GDscan.exe
• ZhuDongFangYu.exe
  

关闭指定服务和进程的目的在于消除安全软件对自身的威胁，解除重要数据文件的占用，防止在加密文件时出现访问冲突导致加密失败的情况。
删除卷影
病毒删除机器上的所有卷影备份，防止加密文件后管理员通过卷影备份进行数据恢复。另外还将禁用开机自动修复。
Medusa勒索病毒重复执行三次以上操作，确保所有命令正确执行。
删除所有备份后，清空所有磁盘上的回收站。

搜索目录及文件
病毒的搜索目标包括本地系统和网络资源。对于搜索到的文件，病毒会对其路径和后缀名等进行判断，以决定是否加密，或是部分加密还是全部加密。
如果文件路径为系统运行相关目录，或是用户目录和应用程序目录，加密方式为0，即不进行加密。如下：

• $
• <ALLUSERPROFILE>\\AppData
• <USERPROFILE>\\AppData
• <programData>
• <WINDIR>
• <PROGRAMFILES(x86)> 【不包括其下邮箱和数据库目录】
• <SYSTEMDRIVE>\\Program Files【不包括其下邮箱和数据库目录】
• <SYSTEMDRIVE>\\AppData
• <SYSTEMDRIVE>\\Application Data
• <SYSTEMDRIVE>\\intel
• <SYSTEMDRIVE>\\nvidia
• <SYSTEMDRIVE>\\Users\\All Users
• <SYSTEMDRIVE>\\Windows
  

若文件为勒索信息提示文件HOW_TO_RECOVER_DATA.html，或是扩展名类型属于可执行文件和配置文件，同样不进行加密。如下：

• .exe
• .dll
• .sys
• .ini
• .lnk
• .rdp
• .encrypted
• .ecnrypted18（MedusaLocker加密后文件后缀）
  

如果文件扩展名类型为数据库文件和镜像文件，病毒将对其采用加密方式2，即文件内容全部加密。

• .sql
• .mdf
  

若是目标文件未被上面的条件过滤掉，则对其采用加密方式1，即文件内容部分加密。
加密文件与解密探讨
MedusaLocker通过调用系统API生成一个AES256对称加密密钥，该密钥作为全局密钥对可加密文件进行数据加密。
然后通过Base64解码出硬编码在病毒文件中的攻击者RSA公钥，导入公钥对之前生成的全局AES密钥进行加密。

接着使用攻击者RSA公钥加密常量字符串” .ecnrypted18”。加密后的AES全局密钥和常量字符串拼接，得到512字节加密数据。将这512字节数据转为16进制字符串形式（如”p”->”70”），作为用户ID，写入勒索信息提示文件。
文件加密函数通过传入的加密方式参数进行不同程度的文件内容加密。
    0：不进行加密；
    1：部分加密，最多加密前16Mb内容；
    2：全部加密。
  加密文件时，采用AES对称块加密算法，以密钥生成阶段的全局密钥进行加密。
  病毒每次读取16Mb内容到内存，接着在这16Mb数据中依次读取8192字节（8Kb）进行加密。加密完首次读取的16Mb内容后，将加密后数据写入原文件，再根据加密方式参数决定是否再次读取下一16Mb内容到内存。如果参数为1，跳出循环，结果是只加密首部的16Mb内容（小于16Mb大小的文件将被全部加密）；若参数为2，则继续读取，直至文件内容被全部加密。
文件加密完成后，将未转hex_string的512字节（用户ID）以及文件大小、加密方式等其他数据（24字节）追加在文件尾部。
被加密后的文件结构示意图如下：

勒索信息
病毒会在每个搜寻的目录下创建勒索信息文件HOW_TO_RECOVER_DATA.html。文件告知用户两个联系攻击者购买解密器的邮箱：
goodmen@countermail.com
goodmen@cock.li
用户可以预先发送一个不大于10Mb的被加密文件给黑客，黑客免费为用户解密该文件，证明自身可成功解密其余文件。发送邮件时需要附加personal ID，该ID是加密后的文件加密密钥和文件名后缀。

给小姐姐点赞

好恐怖！！