Avaddon勒索病毒样本分析

相关阅读：Avaddon勒索病毒家族详情

一、        样本信息
文件名：Avaddon.exe
MD5：c9ec0d9ff44f445ce5614cc87398b38d
SHA-1：591ffe54bac2c50af61737a28749ff8435168182
二、        代码分析
该Avaddon勒索病毒样本由钓鱼邮件传播，用户一点打开了带毒邮件的附件中的JPG图片（实为JS脚本），病毒便会被下载执行，从而加密系统中的文件数据。样本由C++进行编译，整体上采用的加密方式是RSA+AES，属于比较常见的勒索病毒加密方案。
推测Avaddon是出于尽可能避免被静态分析的考虑，对大多数具有明显特征的字符串进行了加密。若要解密，需要先对字符串进行Base64解码，再对每个字符减0x2之后异或0x43，最终获得的字符串即为解密后数据。

1.        地区回避
病毒执行一开始，将进行反调试判断。

之后病毒程序获取被感染机器地默认语言以及输入语言ID，避开以下地区机器（主要为俄语地区）：
Russian
Sakha – Russia
Tatar – Russia
Ukrainian - Ukraine

确认可以对当前机器进行加密后，病毒解密出字符串”{2A0E9C7B-6BE8-4306-9F73-1057003F605B}”作为互斥量，以保证自身进程的单例执行。

2.        获取管理员权限
病毒启动后获取当前权限，如非管理员权限，则尝试绕过系统UAC以管理员权限重新启动自身。病毒将会不断尝试该行为，直到成功以管理员权限启动。

3.        生成用户ID
病毒首先生成32字节的AES 256对称加密密钥，该密钥将被作为全局密钥，用于加密机器中所有文件。同时，攻击者会使用硬编码的RSA公钥对该AES密钥进行加密。

另外Avaddon还将使用攻击者RSA 2048公钥对加密文件后缀字符串”.avdn”进行加密，拼接于上一步中加密后的AES数据后方，拼接后数据长度512字节。将最终加密结果转化为16进制串作为rcid。
访问hxxps://api.myip.com/获取机器的外部IP。

组合获取的机器外部ip以及rcid，组成JSON格式数据，形如：
{
“ip”: ”外部IP”,
”rcid”: ” 669015F6727ABE636D740401301934B6... ...”
}
接着，病毒对内置的数据进行Base64进行解码，并从解码后内容中去除IV和Key作为参数对文件进行CBC模式的AES加密。
上述各个参数设置完成后的AES密钥容器上下文，加密JSON格式数据，并对其进行Base64编码。接着在加密数据前面连接生成的lid（本例中该值为”47”）和字符”-”后，再次Base64编码。最终结果作为勒索信中的用户id。

4.        创建计划任务
复制自身到目录%APPDATA%下，然后通过COM接口创建计划任务”update”，触发条件为无限期地每隔15分钟执行一次。

5.        结束指定进程&删除服务
停止并移除目标服务，并且枚举每个目标服务的依赖子服务，同样进行关闭和删除。这些目标包括杀软、事件管理、数据库、虚拟机、QuickBook监控等相关服务：
DefWatch
ccEvtMgr
ccSetMgr
Sqlservr
Sqlagent
Intuit.QuickBooks.FCS
sqladhlp
QBIDPService
Culserver
vmware-usbarbitator64
vmware-converter
VMAuthdService
VMnetDHCP
VMUSBArbService
VMwareHostd
Sqlbrowser
SQLADHLP
sqlwriter
QBCFMonitorService
SavRoam
dbsrv12
dbeng8
RTVscan
msmdsrv
tomcat6

结束指定进程，包括杀软、服务器、数据库、office办公工具等相关进程：
sqlservr.exe
sqlmangr.exe
RAgui.exe
QBCFMonitorService.exe
Supervise.exe
fdhost.exe
Culture.exe
RTVscan.exe
Defwatch.exe
wxServerView.exe
sqlbrowser.exe
winword.exe
GDScan.exe
QBW32.exe
QBDBMgr.exe
Qbupdate.exe
axlbridge.exe
360se.exe
360doctor.exe
QBIDPService.exe
wxServer.exe
httpd.exe
fdlauncher.exe
MsDtSrvr.exe
Tomat6.exe
java.exe
wdswfsafe.exe

6.        搜索文件进行加密
获取所有有效的本地磁盘，并将所有未挂载磁盘卷进行挂载，枚举网络资源。

避免对以下类型的文件进行加密：
bin
sys
ini
dll
lnk
dat
exe
drv
rdp
prf
swp

7.        删除卷影
删除磁盘卷影备份，禁用开机自动修复。以上操作重复三次，最后清空回收站。

8.        文件加密
为避免出现二次加密的情况，Avaddon会根据文件尾部24字节标志判断文件是否已经被加密。加密后的文件尾部空间偏移+16处DWORD值应为0x1030307，偏移+8处应为0x200。

如果确认文件尚未被加密，使用AES全局密钥加密该文件，最多只读取文件首部1MB大小片段，再按8K为单位进行加密，加密结果写回原位置。

之后在加密完成后的文件尾部追加未转16进制串的rcid值，24字节数据，包括原文件大小、加密标志等内容。最后为加密完成的文件添加扩展名.avdn。

以大于1MB文件为例，文件加密后结构以及加密流程如下图：

9.        勒索信息提示文件
病毒在每个被加密目录下释放一个勒索信息提示文件，文件名为<RANDOM>-readme.html，例如：575605-readme.html。

使用TOR联系黑客网址：avaddonbotrxmuyl.onion。
攻击者还将修改桌面壁纸以提醒用户。

您好，有出Avaddon解密工具没？