MZRevenge勒索病毒样本分析

相关阅读：MZRevenge勒索病毒家族详情，我是链接请点我！

一、        样本信息
    文件名：MZRevenge.exe
    MD5：9ba6cb6d41518e7ac1a7e04efb0becf6
    SHA1：bfea3da38bd193f9a0a2cbb2e0986d540500ca02
二、        样本分析
当前勒索样本病毒需要管理员权限才可开始执行。
病毒执行流程包括：
（1）        删除卷影，禁用开机自动修复；
（2）        搜索文件进行加密；
（3）        释放勒索星系提示文件。
在文件加密阶段，当前MZRevenge样本使用不常见的对称加密算法（可能是自实现的），每个文件的加密密钥相同。之后使用硬编码在病毒中的AES256对称加密算法密钥进行文件加密密钥的加密。整个加密流程中并未使用非对称加密算法，这就导致使用硬编码在病毒中的密码就可以从勒索信息提示文件中取得全局文件加密密钥进行数据恢复。
1.        删除卷影
通过cmd执行vssadmin删除卷影，禁用开机修复。

2.        搜索文件进行加密
MARevenge会先对指定目录进行文件搜索和加密，之后遍历A-Y盘。根据分析，病毒并未对D、E盘进行搜索。

搜索目标目录过程中，获取被枚举文件的扩展名，只针对指定扩展名进行加密。其他扩展名或是无扩展名文件进行避过。

加密目标扩展名如下，除了exe、dll、sys、ini、msi等可执行程序相关扩展名外，大部分文件都将被加密。

1. 
   
2. .txt;.doc;.docx;.intex;.pdf;.zip;.rar;.onetoc;.css;.lnk;.xlsx;.ppt;.pptx;.odt;.jpg;.bmp;.ods;.png;.csv;.sql;.mdb;.sln;.php;.asp;.aspx;.odp;.html;.xml;.psd;.bk;.bat;.mp3;.mp4;.wav;.mdf;.ost;.wma;.avi;.divx;.mkv;.mpeg;.wmv;.mov;.ogg;.mid;.gif;.jpeg;.cs;.vb;.vbproj;.py;.asmx;.json;.mov;.jpe;.dib;.h;.cpp;.ico;.suo;.c;.vcxproj;.mml;.otp;.VDPROJ;.vcx1tems;.py3;.pyc;.pyde;.resx;.pdb;.msg;.manifest;.settings;.dat;.jar;.ps1;.htm;.f3d;.myd;.dwg;.rtf;.apk;.iso;.7-zip;.ace;.arj;.bz2;.myi;.cab;.gzip;.lzh;.tar;.uue;.xz;.z;.001;.mpg;.odg;.core;.crproj;.pas;.db;.torrent;.csptoj;.config;.nef;.bin;.enigma;.log;.ovpn;.rc;.url;.csh;.cvproj;.odb;.dproj;.cfg;.csm;.7z;.3dm;.3ds;.3g2;.3gp;.602;.ost;.123;.ARC;.PAQ;.accdb;.aes;.ai;.asc;.asf;.backup;.bak;.brd;.cgm;.class;.cmd;.crt;.csr;.dbf;.dch;.otg;.der;.dif;.dip;.djvu;.docb;.docm;.dot;.dot;.dotm;.dotx;.dwg;.edb;.eml;.fla;.flv;.frm;.gpg;.gz;.hwp;.ibd;.java;.js;.sp;.key;.lay;.lay6;.ldf;.m3u;.m4u;.max;.ott;.p12;.pem;.pfx;.pl;.pot;.potm;.potx;.ppam;.pps;.ppsm;.ppsx;.pptm;.pst;.raw;.rb;.sch;.sh;.sldm;.sldx;.slk;.snt;.sqlite3;.sqlitedb;.stc;.std;.sti;.stw;.svg;.swf;.sxc;.sxd;.sxi;.sxm;.sxw;.tbk;.tgz;.tif;.tiff;.uop;.uot;.vbs;.vcd;.vdi;.vmdk;.vbe;.vmx;.vob;.vsd;.vsdx;.wb2;.wk1;.wks;.xlc;.xlm;.xlsb;.xlsm;.xlt;.xltm;.xltx;.xlw;.mkv;.img;.vbox

复制代码

3.        文件加密方式
文件加密密钥长度为22字节，产生方式如下：
（1）        从[1，5]区间随即抽取出5个数字（可重复）作为一个十进制数（如23445、43231等）；
（2）        重复（1）步骤11次，总共获取11个十进制数字；
（3）        将11个数字分别转2字节宽的16进制值（如23445 -> 5B95）；
（4）        每个16进制数进行小端序摆放（23445 -> 5B95 -> 95 5B），依次连接11个数，得到22字节，作为文件加密密钥key_file。
Key_file作为通用加密密钥加密所有文件。
文件内容加密采用对称流加密算法，并不是常见的对称加密（可能时病毒作者自实现）。加密方式如下：
（1）        取明文第一个字节c，与文件加密密钥key_file尾部字节进行异或（xor）运算，结果作为c对应的密文c’；
（2）        接着明文c和key_file倒数第二个字节在255（0xff）内进行相加，即（c + （BYTE）key_file[-2]）&0xff，计算结果记为tmp_add；
（3）        tmp与key_file首部字（WORD）在65535（0xffff）内相乘，即（tmp * （WORD）key_file[：2]）&0xffff，计算结果记为tmp_mul（WORD的读取方式为小端序）；
（4）        之后tmp_mul与key_file中未使用过的其他字进行65535（0xffff）内的相加，即（tmp_mul + （WORD）key_file[2:4] + （WORD）key_file[4:6] + … + （WORD）key_file[-4:-2]）&0xffff，计算结果记为tailWord；
（5）        tailWord取代key_file尾部字；
（6）        移至明文下一个待加密字节；
（7）        重复（1）-（6）步，直到明文被加密完成。

文件加密完成后，为文件添加扩展名” MZ173801”。
文件加密流程以及加密后文件结构如下图：

4.        文件解密
    对文件进行解密时，与加密流程相同，第（2）步的明文c使用解密后的明文。可以看到密钥只有尾部的两个字节出现变换，其他部分为常量。
    在有原文件部分数据对比的情况下，该加密算法的密钥第一轮的尾部字节可以通过枚举和异或0-255猜出，之后只需要本轮的三个常量即可进行之后密钥尾部字节的验证。这三个常量为首部字、key_file倒数第2个字节、第2-10字在65535（0xffff）范围内相加之后的值。其中首部字first_word由于其产生方式可以限定范围为[11111，55555]。如果暴力枚举，最多需要进行44444*65535*255=742722572700次计算。
    所有目标目录的文件加密完成后，使用delphi的LockBox加密解密库进行文件加密密钥key_file的加密。将key_file每个字小端序转10进制后以’-’连接成字符串。如：”71 8A 8D 89 DD 34 D7 5B 07 AE EF A4 7F 5B AD 89 BF A9 91 AD 8C 89” -> “35441-35213-13533-23511-44551-42223-23423-35245-43455-44433-35212”。
    当前样本在解密key_file时使用的是对称加密算法AES-256，加密模式CBC，密码内置在病毒中：XS645D65d65asd778DA768SD65AS45D65442DASD432AS4D68d78D6654（LockBox通过密码计算出Key和IV）。
    加密结果为base64编码后的值，将被写入勒索信息提示文件Read_ME_PLS.txt。

    因为使用的是对称加密算法并且密码已知，导致文件加密密钥可以直接解出，而无需支付赎金。
5.        勒索信息提示文件
    病毒在搜索文件阶段指定的特殊目录和磁盘下防止勒索信息文件Read_ME_PLS.txt。

    黑客在勒索信息提示文件中告知用户，可以免费恢复一个被加密文件，以确认对方可恢复文件。在3天内联系黑客，只需支付150美刀的赎金，逾期300美刀。
    联系黑客邮箱：helpdesk_mz@aol.com；查看垃圾邮件以免错过黑客回信。
    文件最后是经AES-256加密后的文件加密密钥。