TargetCompany(Mallox)勒索病毒样本分析

相关阅读：TargetCompany(Mallox)勒索病毒家族详情


    Mallox（又被称作Target Company）最早出现于2021年6月中旬，并在2021年10月开始进入国内。其采用RaaS（勒索软件即服务）模式运营，将企业作为其攻击目标。
下面是对Mallox编译于2022年2月的较新样本的代码分析。
1.CIS地区避过
病毒程序启动后，获取用户使用的语言ID，和内置的5个CIS地区语言ID进行比较，匹配上则结束进程，即不加密该用户文件。

2.清除指定注册表以躲避检测
启用SeTakeOwnershipPrivilege和SeDebugPrivilege权限。

为对抗反勒索软件Raccine，Mallox会删除和该软件相关的注册表项，和可能被监控的相关程序的IFEO注册表项。
Raccine是一个由Florian开源的反勒索软件，利用注册表项Image File Execution Options的监控机制，对勒索软件常用的系统程序进行监控，比如vssadmin.exe、bcdedit.exe、wmic.exe、powershell.exe等。触发监控程序之后Raccine寻找其可疑父进程进行终止。

3.卷影删除
调用vssadmin和bcdedit删除卷影和开机自动修复的禁用。

4.结束目标进程
Mallox勒索病毒将查找并结束以下目标进程：

1. <div>sqlserv.exe
   
2. </div><div>oracle.exe
   
3. </div><div>ntdbsmgr.exe
   
4. </div><div>sqlservr.exe
   
5. </div><div>sqlwriter.exe
   
6. </div><div>MsDtsSrvr.exe
   
7. </div><div>msmdsrv.exe
   
8. </div><div>ReportingServecesService.exe
   
9. </div><div>fdhost.exe
   
10. </div><div>fdlauncher.exe
    
11. </div><div>mysql.exe
    
12. </div>

复制代码

5.搜索文件进行加密
    搜索的目标磁盘类型包括远程网络磁盘（DRIVE_REMOTE）、可移动磁盘（DRIVE_REMOVABLE）、固定磁盘（DRIVE_FIXED）。
路径中包含以下字符串的目录将被跳过：

1. <div>msocache
   
2. </div><div>$windows.~ws
   
3. </div><div>system volume information
   
4. </div><div>intel
   
5. </div><div>appdata
   
6. </div><div>perflogs
   
7. </div><div>programdata
   
8. </div><div>google
   
9. </div><div>application data
   
10. </div><div>tor browser
    
11. </div><div>boot
    
12. </div><div>$windows.~bt
    
13. </div><div>mozilla
    
14. </div><div>boot
    
15. </div><div>windows.old
    
16. </div><div>Windows Microsoft.NET
    
17. </div><div>WindowsPowerShell
    
18. </div><div>Windows NT
    
19. </div><div>Windows
    
20. </div><div>Common Files
    
21. </div><div>Microsoft Security Client
    
22. </div><div>Internet Explorer
    
23. </div><div>Reference
    
24. </div><div>Assemblies
    
25. </div><div>Windows Defender
    
26. </div><div>Microsoft ASP.NET
    
27. </div><div>Core Runtime
    
28. </div><div>Package
    
29. </div><div>Store
    
30. </div><div>Microsoft Help Viewer
    
31. </div><div>Microsoft MPI
    
32. </div><div>Windows Kits
    
33. </div><div>Microsoft.NET
    
34. </div><div>Windows Mail
    
35. </div><div>Microsoft Security Client
    
36. </div><div>Package Store
    
37. </div><div>Microsoft Analysis Services
    
38. </div><div>Windows Portable Devices
    
39. </div><div>Windows Photo Viewer
    
40. </div><div>Windows Sidebar
    
41. </div>

复制代码

加密时避过一下文件文件：

1. <div>desktop.ini
   
2. </div><div>ntuser.dat
   
3. </div><div>thumbs.db
   
4. </div><div>iconcache.db
   
5. </div><div>ntuser.ini
   
6. </div><div>ntldr
   
7. </div><div>bootfont.bin
   
8. </div><div>ntuser.dat.log
   
9. </div><div>bootsect.bak
   
10. </div><div>boot.ini
    
11. </div><div>autorun.inf
    
12. </div><div>debugLog.txt
    
13. </div>

复制代码

避过的文件类型，.consultransom为Mallox加密过的文件名后缀，而.Globeimposter-Alpha865qqz则是Globeimposter勒索病毒的加密文件后缀：

1. <div>.msstyles
   
2. </div><div>.icl
   
3. </div><div>.idx
   
4. </div><div>.rtp
   
5. </div><div>.mallox
   
6. </div><div>.sys
   
7. </div><div>.nomedia
   
8. </div><div>.dll
   
9. </div><div>.hta
   
10. </div><div>.cur
    
11. </div><div>.lock
    
12. </div><div>.cpl
    
13. </div><div>.Globeimposter-Alpha865qqz
    
14. </div><div>.ics
    
15. </div><div>.hlp
    
16. </div><div>.com
    
17. </div><div>.spl
    
18. </div><div>.msi
    
19. </div><div>.key
    
20. </div><div>.mpa
    
21. </div><div>.rom
    
22. </div><div>.drv
    
23. </div><div>.bat
    
24. </div><div>.386
    
25. </div><div>.adv
    
26. </div><div>.diangcab
    
27. </div><div>.mod
    
28. </div><div>.scr
    
29. </div><div>.theme
    
30. </div><div>.ocx
    
31. </div><div>.prf
    
32. </div><div>.cab
    
33. </div><div>.diagcfg
    
34. </div><div>.msu
    
35. </div><div>.cmd
    
36. </div><div>.ico
    
37. </div><div>.msc
    
38. </div><div>.ani
    
39. </div><div>.icns
    
40. </div><div>.diagpkg
    
41. </div><div>.deskthemepack
    
42. </div><div>.wpx
    
43. </div><div>.msp
    
44. </div><div>.bin
    
45. </div><div>.themepack
    
46. </div><div>.shs
    
47. </div><div>.nls
    
48. </div><div>.exe
    
49. </div><div>.lnk
    
50. </div><div>.ps1
    
51. </div><div>.consultransom
    
52. </div>

复制代码

6.文件加密方式
Mallox勒索病毒采用的加密方案为ECDH（基于椭圆曲线的Diffie-Hellman 密钥交换）+ChaCha20（salsa20流加密变种算法）。
程序中首先为当前用户生成一对ECDH公私钥sk_user和pk_user，分别为32字节。攻击者的ECDH公钥pk_attacker被内置于程序中，被用于和sk_user生成会话密钥ShareKey。ShareKey将被用于当前机器的文件加密。

加密目标文件时，每次跳过一个指定的偏移量，均匀地从文件头部读至文件尾部进行加密，并写回原偏移，每次读取0x1000字节（4KB）。加密算法使用ChaCha20，包括pk_user在内的解密所需信息被写于文件尾部，共88字节。

为被加密成功后的文件添加后缀名.consultransom。
7.创建远程服务进行扩散
Mallox还会枚举本地缓存的ip地址，并尝试直接复制到目标机器上。复制文件名为avast.exe，为其远程创建服务并启动，实现自我扩散。

8.勒索信提示信息
    在C盘根目录下创建名为HOW TO RECOVER !!.TXT的勒索信，在其他所有被加密目录下创建文件RECOVERY INFORMATION.txt，二者内容一致。不同受害机器上，勒索信中只有Personal ID时不同的，是将pk_user前6个字节转为16进制的大写字符串的方式得到。

YOUR FILES ARE ENCRYPTED !!!

TO DECRYPT, FOLLOW THE INSTRUCTIONS:

To recover data you need decrypt tool.

To get the decrypt tool you should:

1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.


CONTACT US:
consultransom@tutanota.com
consultransom@protonmail.com
YOUR PERSONAL ID: XXXXXXXXXXXX