SaveTheQueen勒索病毒样本分析

相关阅读：SaveTheQueen勒索病毒家族详情

一、        样本信息
    文件名：SaveTheQueen.exe
    MD5：8775ed26068788279726e08ff9665aab
    SHA1：41ed20713f498f8e121743506e1c63ef7346392b
二、        代码分析
当前版本的SaveTheQueen病毒程序由C#语言进行编写。执行过程如下：
（1）        实例化一个PowerShell对象执行内置PS脚本；
（2）        PS脚本新起一个cmd.exe进程，解压携带的DLL文件到内存执行，执行参数为cmd.exe的PID值；
（3）        解压出的DLL文件根据PID参数打开目标进程，将shellcode注入进程，调用API CreateRemoteThread远程创建线程以执行被注入代码；
（4）        注入代码释放DLL文件GodSave.dll到内存，手动加载CLR对DLL进行托管执行，进入加密阶段。
病毒文件对代码进行多重处理，释放的文件不写入磁盘，只在内存加载和执行，并且恶意DLL文件经过了混淆处理，使用上述多种方式降低自身被杀软检测出的可能和跟踪难度。
1.        代码注入
SaveTheQueen病毒程序通过实例化C#中的PowerShell对象，执行自身内置的PowerShell脚本。

    内置PS脚本首先启动一个cmd.exe进程，接着将自身携带的两个经gzip压缩后Base64编码的C# DLL程序GodTest.dll（两个DLL同名）解压到内存并加载运行，两者分别会创建类[ShellcodeTest.Program4]和[ShellcodeTest.Program3]，执行DLL参数为cmd.exe PID值。
    类Pragram4和Pragram3中分别携带两个Base64编码后的ShellCode片段，先后注入执行参数PID所属进程中；如果未接收到PID参数，则转向winlogon.exe进程进行注入。

注入代码释放出C# DLL文件GodSave.dll，通过手动加载CLR对该DLL进行托管执行。

向GodSave.dll传递参数”SaveTheQueen”开始文件搜索和加密；如果传递参数为攻击者的ECDH私钥则进行文件搜索和解密。

2.        搜索文件进行加密
搜索的目标磁盘类型为固定磁盘（DRIVE_FIXED）和可移动磁盘（DRIVE_REMOVABLE）。

不加密下列文件夹及其子文件夹，主要包括系统文件夹以及应用程序文件夹。

• <WinDir>
• <Program File>
• <Program Files (x86)>
• <Command Application Data>
• C:\\inetpub
  

如果文件属性为system，或是文件类型在以下扩展名中，将不被加密，主要包括镜像文件、可执行文件以及压缩包文件等。

• exe
• dll
• msi
• iso
• sys
• cab
  

    绕过以上类型的目录以及文件类型的目的是防止加密后影响程序运行，导致用户无法支付赎金。除了避过以上文件外，其余所有文件都将被加密。
3.        文件加密方式
加密文件时，如果出现因为访问冲突导致加密失败，病毒将会通过结束指定进程的方式解除文件的占用，然后对该文件再次加密。

解除文件占用后，病毒会使用ECDH算法生成密钥对和盐（salt）值进行加密前的准备。

    开始加密前，为目标文件添加扩展名.SaveTheQueenING，保持该扩展名直到该文件被全部加密。将待加密文件按100MB大小进行分割（不足100MB大小的尾部片段视为1个），为每个100MB片段各创建一条线程进行数据加密。

文件数据加密采用对称加密算法AES，加密模式选用CBC，密钥Key 32字节，初始向量IV 16字节。

文件加密流程以及加密后文件结构如下图：

当前文件的加密线程全部结束后（即所有文件数据完成加密），病毒将所有解密所需因子全部写入尾部。包括以下数据：
+0x00：AES初始向量IV；
+0x10：文件的ECDH公钥：
++0x00：Magic，”ECK5”；
++0x04：cbKey，0x42（”B”）；
++0x08：X of Point；
++0x4A：Y of Point；
+0x9C：处理密钥时使用的盐值salt；
+0xA4：最后一个块的Padding字节数（≤16）。
当前文件加密全部完成后，将后缀名从SaveTheQueenING修改为SaveTheQueen。
4.        勒索信息提示文件
  所有目标文件加密完成后，在所有被加密磁盘根目录下放置一个勒索信息提示文件.SaveTheQueen.HelpMe.TXT。

从文件中我们可以得知，所有加密后文件都为.SaveTheQueen后缀，黑客联系邮箱地址包括：

• GodSaveMe@tutamail.com
• GodSaveYou@tuta.io
  

并且用户必须在7天时间内联系黑客进行文件解密，否则解密密钥将被删除。

安全第一，就用360！