Teslarvng勒索病毒样本分析

一、样本信息
文件名：Teslarvng_defrag.exe
MD5：fb2dc7eccfa938149161caf3c7c16b58
SHA1：854c7ef9e0c541dce0df6a9aea7568207046511e
二、代码分析
Teslarvng勒索病毒执行时支持的执行参数形式：<viru.exe> [-r|-irs] [-wait <dwMilliseconds>]。其中参数含义如下：
-wait <dwMilliseconds>：优先处理-wait参数，休眠指定时间后进行后续流程；
-r：运行主要加密流程；
-irs：创建自启动服务defragsrv指向病毒本体，服务启动后再进行加密流程。

病毒进程开始执行后，首先在执行目录下创建文件ConsoleOutput<randint>.txt，后续执行流程将记录在该文件中。记录流程包括密钥生成相关的随机数、搜索磁盘、加密磁盘、加密网络资源、重命名文件等阶段。

Teslarvng尝试获取各种系统权限，包括调试权限、所有文件读写访问及所有权、安全日志审核管理、进程调度优先级等，以便于后续搜索文件加密。

1.删除卷影
Teslarvng调用命令行删除自身创建的服务defragsrv及卷影备份。

2.搜索文件进行加密
Teslarvng会对网络资源以及本地磁盘进行搜索加密。
首先病毒会获取本地缓存的ip列表，逐个尝试进行连接。如果成功连接，则尝试寻找共享资源。

搜索加密阶段避过以下目录，以免加密该目录后导致系统无法运行，<WinDir>\\teslarvng目录由Teslarvng自身创建，存放加密过程中产生的部分文件。
<WinDir>\\windows
<WinDir>\\boot
<WinDir>\\teslarvng
和系统运行相关的下列文件不被加密，以免影响系统运行。
bootmgr
bootnxt
bootmgr.efi
BOOTSECT.BAK
pagefile.sys
swapfile.sys
hiberfil.sys
以下类型的文件不被加密，主要是可执行文件以及链接文件。
exe
dll
sys
lnk

3.文件加密方式
加密文件采用对称加密算法AES256，加密模式CTR。Teslarvng为每个被加密文件生成32字节随机值作为Key，12字节随机值作为nonce，counter初始值为2。
开始加密前，病毒会先检查待加密文件尾部4字节是否为已加密文件标志，即”\x93\x9F\x7B\xA9”。如果通过该方式判断出文件已经被加密过，则跳过该文件。

被加密文件内容将被轮流读取至内存，利用随机文件密钥以及nonce值进行加密，直至将文件的全部内容加密完成。

原文件内容全部被加密完成后，病毒通过集成加密方案（ECIES）加密文件加密密钥key以及nonce。加密过程中使用到的用户公私钥在本地生成，用户私钥和攻击者内置的公钥协商出共享密钥对文件密钥数据进行加密。解密时即需要攻击者手中的私钥才能解出文件加密密钥，从而进行文件恢复。

文件密钥以及nonce值加密结果共159字节，拼接上加密标志”\x93\x9F\x7B\xA9”追加于文件尾部。

Teslarvng勒索病毒在将所有搜索到的文件加密完成后，再进行加密后文件的重命名。新文件名在原来基础上添加扩展名”.[de-crypt@foxmail.com].teslarvng”，de-crypt@foxmail.com为攻击者邮箱。

病毒最终加密成功，以及加密失败的文件将分别被写入<ProgramData>\\Adobe\\Extension Manager CC\\Logs目录下的fails.txt及c.txt文件中。
文件加密流程以及加密后文件结构如下图：

4.勒索信息提示文件& teslarvngID
Teslarvng勒索病毒在每个被加密目录下创建一个勒索信息提示文件How To Recover.txt，以及一个联系黑客用于恢复数据的文件teslarvngID。
How To Recover.txt：

攻击者在提示文件中给出了两个用于联系解密的邮箱：
email : de-crypt@foxmail.com
email2 : helptounlock@protonmail.com
发送邮件至黑客邮箱需要携带附件teslarvngID，该文件存储ECIES加解密中用户一方公钥等信息，黑客通过该公钥和手中的私钥获取共享密钥，从而可以解密出文件加密密钥，用于恢复相应文件数据。
teslarvngID在<ProgramData>\\datakeys以及<WinDir>\\teslarvng目录下均有备份，这两个目录在进行文件加密前创建。备份文件名为tempkey.teslarvngkeys，在开始文件加密阶段前生成。

5.自我清除
之前的所有流程进行完后，再次删除服务”defragsrv”、删除卷影备份。

接着在临时目录下释放微软提供的工具sdelete.exe，执行命令安全的擦除磁盘中已删除文件的痕迹。

最后，teslarvng执行命令删除自身。