BalaClava勒索病毒样本分析

相关阅读：BalaClava勒索病毒家族详情

一、        样本信息
    文件名：Lock.exe
    MD5：fa7bc80be251a4ab8f68be18149b50f1
    SHA1：eeed35174700516ad6d500b7976d3ff86582579c
二、        代码分析
  该样本属于BalaClava勒索病毒家族，加密后文件后缀为” .KEY0004”。病毒采用了较为常见的模式（三层密钥的对称非对称结合的加密模式）对机器中的文件进行加密。但是病毒加密流程中的非对称加密算法并未使用以前较为常见的RSA算法，而是采用了NTRU算法。
1.        NTRU密钥产生
     BalaClava通过对自身指定部分数据做二次SHA1计算，将最终摘要值的16进制字符串作为文件名，放置在路径”%PUBLIC%”或”%ALLUSERSPROFILE%”下。
本次所测试的样本，其创建的文件名为：
554E5648A83D9A97C76A5155B550BEC5EE40E368
    该文件用于存储BalaClava为当前用户生成的NTRU公钥以及经过攻击者NTRU公钥加密后的用户NTRU私钥。这样即使勒索病毒意外中止，下次执行时将从该文件中读取相同 的公钥。
    本次样本中进行NTRU加密时使用的参数ID为”EES401EP2”。

除了作为文件名，单次SHA1摘要值的前32字节将被作为ChaCha20对称加密算法的Key，而二次SHA1摘要值的前12字节作为NONCE，解密出勒索信内容。

2.        搜索文件进行加密

BalaClava扫描机器上的所有磁盘，并将未挂载的卷进行挂载，从而更彻底地对机器上的数据进行加密。

接着对磁盘类型进行筛选，目标磁盘的类型包括固定磁盘（DRIVE_FIXED）、移动磁盘（DRIVE_REMOVABLE）、网络磁盘（DRIVE_REMOTE）。

搜索文件时，跳过系统路径”%WINDIR%”以及下列的文件名或文件夹名。主要包括系统运行相关文件夹和配置文件、杀软目录、浏览器目录或文件等。

$RECYCLE.BIN

.

..

.vscode

AVG

Avast

Avira

COMODO

Chrome

Common Files

Common7

Dr.Web

ESET

Firefox

HOW_TO_RECOVERY_FILES.txt

Internet Explorer

Kaspersky Lab

McAfee

Microsoft

Microsoft Help

Microsoft SDKs

Microsoft Shared

Microsoft VS Code

Microsoft Visual Studio

Microsoft.NET

Movie Maker

Mozilla Firefox

NVIDIA Corporation

Opera

Outlook Express

Package Cache

Packages

ProgramData

Spytech software

Symantec

Symantec_Client_Security

System Volume Information

TEMP

Temp

Windows

Windows App Certification Kit

Windows Defender

Windows Kits

Windows Mai

Windows Media Player

Windows Multimedia Platform

Windows NT

Windows Phone Kits

Windows Phone Silverlight Kits

Windows Photo Viewer

Windows Portable Devices

Windows Sidebar

WindowsPowerShel

Wsus

YandexBrowser

sysconfig

在每个可加密目录下创建勒索信息提示文件HOW_TO_RECOVERY_FILES.txt。

3.        文件加密方式

BalaClava为每个磁盘创建一个线程进行加密，参数中包括用户NTRU公钥的相关参数，被用于加密文件时加密对称密钥。

加密文件时，采用ChaCha20对称加密算法。加密使用的对称密钥随机产生，每个文件使用的密钥和NONCE也将不同。

病毒每次生成12字节随机值作为NONCE参数，另外生成32字节随机值作为Key。

接着使用用户的NTRU公钥对Key进行加密。

对称加密阶段，不同大小的文件采用不同加密方式：

（1）大于4MB的文件，分别从首部和尾部读取2MB内容，共4MB内容，进行加密；

（2）小于等于4MB的文件，读取首部的2MB内容进行加密。

加密时，初始密钥流Positiony移至64位置后再进行加密。

加密结果写回原偏移处。

之后在文件尾部，写入12字节NONCE值、经用户NTRU公钥加密后的ChaCha20密钥Key、经攻击者NTRU公钥加密的用户NTRU私钥、被加密内容的16字节校验值。

加密完成后，为被加密文件添加扩展名”.KEY0004”。

以大于4MB的文件为例，加密流程以及加密后文件结构如下图：

4.        删除自身

所有文件加密结束后，BalaClava会在%TEMP%下创建文件TotalFiles.txt，写入被加密的文件数量。

最后创建一个低优先级的进程删除自身。

5.        勒索信息提示文件

所有被加密文件目录都将被创建一个勒索信息提示文件HOW_TO_RECOVERY_FILES.txt。

内容如下（尾部数据每个用户都不同）：

ALL YOUR FILES ARE ENCRYPTED!

Send 1 test image or text file

giveyoukey@tutanota.com or giveyoukey@cock.li.

In the letter include YOUR ID or 1 infected file!

We will give you the decrypted file and assign the price for decryption all files!

Doesn't try to restore by yourself, You can damage your files!

85C27E7CE82D4DD849746E78E542C4CDD69D62AF15FC0E8D290CFFAB28C3E965

88703C1912309DAF9D9504556F295AF287727A02E0DBD7DC4F682F171923533C

E6F863DF815FDAE6820087620BDCF693E32BF3EB00A5864C9C05514A686097FC

10C467227E3E2DFE3DD9FB7635C353FA3671D19588DE15082B4BB6F307C6D5C6

900D514C242E774A8ABCBA60AE2CAE820C9A06DD907776339BC61E1EE9670845

F587E93EC6903174114002D1519088CCEA71A0A84814F434BCE7B45EC8E7F13B

64BCCF57443FBCA29075A4F324CD56A91901430042461EDD0FD1D2A2D5E9B9C0

37702E9BCCA66E4A14D936E4ED7742103404D3F136121D5E405349A0409A5C8D

3E5F7398A2831D5EFB219BA28D682485A2FC664F3C548935D392E458D8DAA004

E1800A23A238365DD5E594E7BA990003DF061CC2BEFCA48AEFA18EFADF38F053

345B70778F65A063FF3EA7845B0190D489E37DA8A657FA1C3FE625DBFDF3196E

A96972B4E69776DCEE175ED9F0BDE232607A49F7B8876B6E4158D66E9C6A6139

0638AA6D9871A00565A413B41154110542173B8CF18C2E96FC4A69F5073DAB2B

F89B4834238538C9746AE732E36729E8B163A07662450C8DD89BEA76F1B79B87

61C181DBFE9B9E70B46DFC3323D6D4E5FA987CF49BA9C57AA5AC0A850B979C27

4B4F3240E8211F07841AE5B204A4F8D24EDFFBF65EE131B75C1C44662E295355

67577E6131039F86EA76AAF74802A270B6AF8731EA49A2A7BAD89A032A9264DD

090777AB14C8F809DFCD885846434F0E7B3DE24EB77752D223AE982C506FA732

D2C57AEF0EA189C5DC1522635CE3AA41ADA2CADBC743E247D9AA9F83FEA9ACD9

59EA2C1C4EC1A8CE032E89B9BBFB615BFDC02D54022D3397268C2AE9266B15B6

081C135A4BBE552EE889ECB8FAF723DA663C350DAB30F1554BDAA131B534B56E

D36A4F172D9DC765161CB24BCC9CEE1ED9DBE337A1ACEA9D36D5B66BD43C95E2

9C85EF656D3DC53BF38140E0139F3349D7C3D2C3B5F3FDE42066BBE95C996167

D231150A7FF8B8B8EC26694397B8F961E4CE8E9629EC1F82F24903CCEB0F0115

5488E81A61FAB8F597A4406BD3B9A626C517214168C09BCF5A3BA372E09916A3

9BCEE8CE8C9D9801AB