请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
一、样本信息
文件名:Teslarvng_defrag.exe
MD5:fb2dc7eccfa938149161caf3c7c16b58
SHA1:854c7ef9e0c541dce0df6a9aea7568207046511e
二、代码分析
Teslarvng勒索病毒执行时支持的执行参数形式:<viru.exe> [-r|-irs] [-wait <dwMilliseconds>]。其中参数含义如下:
-wait <dwMilliseconds>:优先处理-wait参数,休眠指定时间后进行后续流程;
-r:运行主要加密流程;
-irs:创建自启动服务defragsrv指向病毒本体,服务启动后再进行加密流程。

360社区

360社区

病毒进程开始执行后,首先在执行目录下创建文件ConsoleOutput<randint>.txt,后续执行流程将记录在该文件中。记录流程包括密钥生成相关的随机数、搜索磁盘、加密磁盘、加密网络资源、重命名文件等阶段。

360社区

360社区

Teslarvng尝试获取各种系统权限,包括调试权限、所有文件读写访问及所有权、安全日志审核管理、进程调度优先级等,以便于后续搜索文件加密。

360社区

360社区

1.删除卷影
Teslarvng调用命令行删除自身创建的服务defragsrv及卷影备份。

360社区

360社区

2.搜索文件进行加密
Teslarvng会对网络资源以及本地磁盘进行搜索加密。
首先病毒会获取本地缓存的ip列表,逐个尝试进行连接。如果成功连接,则尝试寻找共享资源。

360社区

360社区

360社区

360社区

搜索加密阶段避过以下目录,以免加密该目录后导致系统无法运行,<WinDir>\\teslarvng目录由Teslarvng自身创建,存放加密过程中产生的部分文件。
<WinDir>\\windows
<WinDir>\\boot
<WinDir>\\teslarvng
和系统运行相关的下列文件不被加密,以免影响系统运行。
bootmgr
bootnxt
bootmgr.efi
BOOTSECT.BAK
pagefile.sys
swapfile.sys
hiberfil.sys
以下类型的文件不被加密,主要是可执行文件以及链接文件。
exe
dll
sys
lnk

360社区

360社区

3.文件加密方式
加密文件采用对称加密算法AES256,加密模式CTR。Teslarvng为每个被加密文件生成32字节随机值作为Key,12字节随机值作为nonce,counter初始值为2。
开始加密前,病毒会先检查待加密文件尾部4字节是否为已加密文件标志,即”\x93\x9F\x7B\xA9”。如果通过该方式判断出文件已经被加密过,则跳过该文件。

360社区

360社区

被加密文件内容将被轮流读取至内存,利用随机文件密钥以及nonce值进行加密,直至将文件的全部内容加密完成。

360社区

360社区

原文件内容全部被加密完成后,病毒通过集成加密方案(ECIES)加密文件加密密钥key以及nonce。加密过程中使用到的用户公私钥在本地生成,用户私钥和攻击者内置的公钥协商出共享密钥对文件密钥数据进行加密。解密时即需要攻击者手中的私钥才能解出文件加密密钥,从而进行文件恢复。

360社区

360社区

360社区

360社区

文件密钥以及nonce值加密结果共159字节,拼接上加密标志”\x93\x9F\x7B\xA9”追加于文件尾部。

360社区

360社区

Teslarvng勒索病毒在将所有搜索到的文件加密完成后,再进行加密后文件的重命名。新文件名在原来基础上添加扩展名”.[de-crypt@foxmail.com].teslarvng”,de-crypt@foxmail.com为攻击者邮箱。

360社区

360社区



病毒最终加密成功,以及加密失败的文件将分别被写入<ProgramData>\\Adobe\\Extension Manager CC\\Logs目录下的fails.txt及c.txt文件中。
文件加密流程以及加密后文件结构如下图:

360社区

360社区


4.勒索信息提示文件& teslarvngID
Teslarvng勒索病毒在每个被加密目录下创建一个勒索信息提示文件How To Recover.txt,以及一个联系黑客用于恢复数据的文件teslarvngID。
How To Recover.txt:

360社区

360社区

攻击者在提示文件中给出了两个用于联系解密的邮箱:
email : de-crypt@foxmail.com
email2 : helptounlock@protonmail.com
发送邮件至黑客邮箱需要携带附件teslarvngID,该文件存储ECIES加解密中用户一方公钥等信息,黑客通过该公钥和手中的私钥获取共享密钥,从而可以解密出文件加密密钥,用于恢复相应文件数据。
teslarvngID在<ProgramData>\\datakeys以及<WinDir>\\teslarvng目录下均有备份,这两个目录在进行文件加密前创建。备份文件名为tempkey.teslarvngkeys,在开始文件加密阶段前生成。

360社区

360社区

5.自我清除
之前的所有流程进行完后,再次删除服务”defragsrv”、删除卷影备份。

360社区

360社区

接着在临时目录下释放微软提供的工具sdelete.exe,执行命令安全的擦除磁盘中已删除文件的痕迹。

360社区

360社区

360社区

360社区

最后,teslarvng执行命令删除自身。

360社区

360社区

共 3 个关于Teslarvng勒索病毒样本分析的回复 最后回复于 2020-4-8 23:21

评论

直达楼层

360fans_u22328610 LV3.中士 发表于 2020-3-25 20:38 | 显示全部楼层 | 私信
这病毒太阴险了!
360fans_3sUNqQ LV1.上等兵 发表于 2020-3-31 22:26 | 显示全部楼层 | 私信
老师讲的太专业了,我的电脑也中毒了,老师能私信教下怎么样解决?
Potato 产品答疑师 楼主 发表于 2020-4-8 23:21 | 显示全部楼层 | 私信
ddd
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Potato 产品答疑师

粉丝:9 关注:0 积分:11086

精华:0 金币:11731 经验:6907

最后登录时间:2024-3-28

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表