VoidCrypt勒索病毒样本分析

相关阅读：VoidCrypt勒索病毒家族详情


一、        样本信息

文件名：7d02799d6ff7e9ca5dc363811a65b3f3.exe
MD5：7d02799d6ff7e9ca5dc363811a65b3f3
SHA1：7c0b9cca87924524fbbf5a08cc706d993e06fbdf

二、        代码分析
    该病毒主要特征和主流勒索病毒一致，样本使用常见的RSA+AES的加密手段组合，功能实现上使用CryptoPP加密库进行加密，随机数算法使用CryptoPP库函数完成，无显著算法漏洞。
1.        备份目录删除&结束指定服务和进程
  病毒执行后，首先进行清场，执行cmd命令，结束特定的服务，删除备份目录。值得注意的是，该样本对备份的删除操作存在问题，导致即使在该样本执行完毕后，“系统保护”中的还原点仍可使用。虽然已无法使用“还原”选项，但可以打开选中的版本，其中备份的数据仍还存在且未被加密。

  查找并终止以下进程，以解除对数据库文件的占用，达到更大程度加密高价值数据文件，提高受害者支付率。

• sqlserver.exe
• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlwriter.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
  

2.        用户RSA密钥&ID生成

  病毒会为用户生成一对2048位的RSA公私钥对，将其中的公钥以PEM格式存储在C:\\programdata\\pubk.txt文件中。而私钥则进行上传至远端服务器。若上传失败，将使用硬编码在程序中的RSA公钥对文件加密密钥进行加密。

该病毒通过将字符串“ 0123456789QWERTYUIOPASDFGHJKLZXCVBNM”随机打乱后，提取前15个字符作为即将被加密设备的ID标识，并保存在C:\\programdata\\IDk.txt文件中。

3.        信息上传

  该病毒通过访问www[.]sfml-dev[.]org/ip-provider.php来获取本机的公网IP地址。同时，该病毒还会获取磁盘已使用的空间大小，来估算文件该设备被加密文件的大小，以便后期黑客根据被加密文件总大小来索要等赎金。

  获取到所需的信息后，程序将访问hxxps://pastebin[.]com/raw/E1MURCfS获取一个IP地址，分析时返回的IP为94.130.46.*，该IP接收病毒发送的受害机器解密私钥。发送的信息如下：

• ip：受害机器公网IP；
• disk：被加密设备磁盘已被使用的大小，以GB为单位；
• key：用户RSA私钥；
• id：用户ID；
• mail：攻击者联系邮箱。
• 返回数据中的标识：
• Active：使用用户RSA公钥进行进行加密；
• detive或留空：使用程序中内置的RSA公钥进行加密。
  

4.        搜索文件进行加密

  对磁盘文件搜索时，避过DRIVE_CDROM(光盘驱动器)、DRIVE_RAMDISK(虚拟驱动器)类型的磁盘。

  通过匹配文件和目录名，跳过C:\\windows目录，病毒释放的pubk.txt、IDk.txt、!INFO文件，以及.help后缀文件（避免多次加密）。

5.        文件加密方式

  病毒会将被加密的文件以 “原文件名.[邮箱].[ID].help“的格式重新命名。然后针对不同大小的文件，病毒会采用不同的处理方式。

    1.        当文件小于146.5KB时：直接创建新文件，接着从原文件读取数据，将数据全部加密后写入新文件，并在文件尾部追加解密密钥相关数据259字节，最后清空原文件，再删除；

    2.        当文件大于等于146.5KB时：直接从文件头部读取数据，加密后写回原偏移，最多加密390.625KB。最后再重命名文件。

  加密文件时采用AES-256对称加密算法的CTR模式。每加密一个文件，即重新生成32字节随机加密密钥，和12字节随机Nonce。每个文件被加密结束后，拼接数据“AES密钥+Nonce+5字节随机字符”，使用RSA公钥对这49字节进行加密。

  最后，”yek”+RSA(“AES密钥+Nonce+5字节随机字符”) 共259字节数据写入尾部，用于后续解密。

  以大于146.5KB的文件且使用用户RSA公钥的情况为例，加密流程及加密后文件结构如下图：

6.        勒索信息文件

  每个被加密目录下都会被放置一个勒索信息文件!INFO.HTA。

黑客邮箱：

drhelmes@aol.com

hosomhelp@aol.com