One-OAPlugins勒索病毒样本分析

相关阅读：One-OAPulgins勒索病毒家族详情。

一、样本信息
文件名：update_11.3.58.exe
MD5：c2344013d3128d75921b22aeb134a615
SHA1：28bba11947b9842d0c5f30cf792cf3f8394c6120
二、代码分析
该勒索病毒需要管理员权限，成功启动后执行操作：
1）结束MySql相关服务；
2）释放勒索信息提示文件到指定目录下；
3）加密搜索到的指定目标类型文件；
3）删除自身（check.php1）文件。

1.关闭MySql相关服务
病毒遍历系统中每个服务名，查找是否含有字符串”mysql”，匹配上则结束该服务，解除mysql相关服务占用的数据文件，防止因访问冲突导致文件加密失败。

2.搜索文件进行加密
该阶段，病毒查找A-Z中所有有效磁盘，所有文件夹。
加密对象只有指定类型的文件，目标文件类型共185种，涵盖大部分数据存储文件类型，如下：
.doc.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.log,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.edb,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.py,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.myd,.myi,.frm,.ibd,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der

文件加密方式采用AES256对称加密算法。加密前，原文件内容先进行Base64编码，之后再对编码值进行AES加密。加密结果将被写入新文件中，新文件名由原文件名和后缀’1’组成，IV写入文件首部，接着再写入加密结果。

最后删除被加密的原文件。

文件加密流程以及加密后文件结构如下图：

攻击者将RSA-2048公钥内置于病毒文件中。产生文件对称加密密钥Key后，病毒导入RSA-2048公钥，从而对Key进行加密和Base64编码，最终结果作为联系黑客时使用的key。

3.勒索信息提示文件
病毒遍历A-Z盘，在所有有效磁盘下释放勒索提示文件readme_readme_readme.txt。枚举C:\\Users目录下的文件夹，同样将勒索信息提示文件放到被枚举到的文件夹下，路径为C:\\Users\\<FolderName>\\Desktop\\readme_readme_readme.txt。

攻击者在readme_readme_readme.txt文件中要求用户支付0.3比特币，将支付结果截屏和key发送到黑客邮箱以获取解密工具。其中key是文件对称加密密钥Key被RSA-2048加密并Base64编码后的数据。
黑客钱包地址：
12ZsBrX4UTsdjJbx84GcPFGEQaKMyYU29p
黑客邮箱地址：
1）langdiru1887@protonmail.com
2）mawienkiu@yandex.com

所有文件加密完成后，病毒通过执行命令”del /F /Q check.php1”删除与自身相关的文件check.php1。