背景概述
近日,深信服安全團隊接到使用者的勒索求助,排查發現是一款名為MedusaLocker的勒索軟體家族。該勒索病毒家族具有一些獨特的功能,它不僅會感染本地計算機,而且還會透過網路進行擴散,對其他主機進行加密。
為了最大程度地在受感染機器上成功加密檔案,並且保證使用者能夠支付贖金,MedusaLocker勒索病毒不會對可執行檔案進行加密。其使用AES和RSA-2048的組合,使得加密的檔案解密變成不太可能。
在本文中,我們將介紹MedusaLocker勒索病毒的工作原理。
情報分析
樣本名稱 | skynet.exe |
樣本型別 | exe |
惡意型別 | 勒索病毒 |
Sha256 | fbf6c8f0857d888385f6bc0d46523ebcc1634e06d0e96411fc43a8ae4213d1f3 |
勒索資訊:
技術分析
ida動態獲取sig伺服器命名,直接定位到winmain,建立了一個硬編碼的{8761ABBD-7F85-42EE-B272-A76179687C63}互斥訊號量,操作之前檢查mutex是否存在;
透過這個函式判斷是Admin還是user賬戶執行;
使用GetTokenInformation確定許可權;
UAC繞過,使用CMSTP是一個與Microsoft連線管理器配置檔案安裝程式關聯的二進位制檔案。它接受INF檔案,這些檔案可以透過惡意命令武器化,以指令碼(SCT)和DLL的形式執行任意程式碼;
建立了新的登錄檔值:
HKEY_CURRENT_USER\SOFTWARE\MDSLK\Self
建立計劃性任務計劃指向%AppData%\Roaming\svhost.exe
建立時間間隔PT x M,使用Microsoft程式碼建立任務,從而過檢測;
檢測服務名稱是否與預先定義的列表匹配,如果匹配就終止服務;
列表:
wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,sqlwriter,msmdsrv,tomcat6,zhudongfangyu,SQLADHLP,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8
wxServer.exe,wxServerView,sqlservr.exe,sqlmangr.exe,RAgui.exe,supervise.exe,Culture.exe,RTVscan.exe,Defwatch.exe,sqlbrowser.exe,winword.exe,QBW32.exe,QBDBMgr.exe,qbupdate.exe,QBCFMonitorService.exe,axlbridge.exe,QBIDPService.exe,httpd.exe,fdlauncher.exe,MsDtSrvr.exe,tomcat6.exe,java.exe,360se.exe,360doctor.exe,wdswfsafe.exe,fdlauncher.exe,fdhost.exe,GDscan.exe,ZhuDongFangYu.exe
如果字尾名是:.csv,.sql,.mdf,.NDF,.SQLITEDB,.DDL,.SQLITE,.SQLITE3,.LDF,.EDB,.FDB,.FBK,.DBF,即檔案內容全部加密。
若檔案為勒索資訊提示檔案HOW_TO_RECOVER_DATA.html,或是副檔名型別屬於可執行檔案和配置檔案,同樣不進行加密
可執行檔案和配置檔案列表:
.exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted,.READINSTRUCTIONS,.recoverme,.Readinstructions,.hivteam,.hiv,.386,.adv,.ani,.bat,.bin,.cab,.cmd,.com,.cpl,.cur,.deskthemepack,.diagcab,.diagcfg,.diagpkg,.dll,.drv,.exe,.hlp,.icl,.icns,.ico,.ics,.idx,.ldf,.lnk,.log,.mod,.mpa,.msc,.msp,.msstyles,.msu,.nls,.nomedia,.ocx,.prf,.ps1,.rom,.rtp,.scr,.shs,.spl,.sys,.theme,.themepack,.wpx,.lock,.key,.hta,.msi,.enc,.deadfiles,.lockernetwork,.monster,.NETFULL,.shanghai,.support,.DE,.netlock,.BR,.LOCK,.shanghai2,.monster,.MY,.GR,.ID,.MA,.HU,.IN,.BG,.titan,.cryptocrypto,.dodik,.shanghai3,.TW,.shanghai4,.AU,.lockes,.DEDE,.RS,.local,.shanghai5,.shanghai6,.shanghai7,.locklock,.AULOCK,.FRFR,.lockers,.PedroChicken,.DogUlitos,.datalock,.stopfiles,.viets,.ILLOCK,.GBLOCK,.lokes,.KRLOCK,.AU,.KRLOCK2,.KRLOCK3,.KRLOCK4,.shanghai8,.sglock,.shanghai9,.shan,.EG,.grgr,.locks,.CN,.CN2,.locklock,.cnlock,.netlock,.netlock2,.vikings,.usus,.lockfilesus,.creepers,.shanghaiX,.kwlock,.mzlock,.lklock,.zoomzoom,.lockfiles,.shanghai11pro,.locklock,.wtf,.diablo,.nett,.lock,.de,.IL,.cn,.batman,.valhalla,.mx,.barracuda,.scheisse,.EG,.IT,.kw,.fr,.babadook,.tw,.us,.Readinstructions,.diablo,.KR,.kimchin,.help,.lt,.us,.skynet,.au,.ZA,.AR,.dolock,.uslock,.ReadInstructions,.zalock,.detrov,.skynet
禁止系統恢復,使用vssadmin,WMI刪除所有卷,使用bcdedit命令防止啟動時候進入恢復模式;
清除回收站;
傳入的a1 = 1,普通使用者和管理員許可權下都可以使用網路共享;
帶有$的檔案和資料夾不加密,不加密的檔案以及資料夾列表。
不加密的檔案以及資料夾列表:
ALLUSERSPROFILE
PUBLIC
TMP
USERPROFILE
\\AppData
ProgramData
PROGRAMFILES(x86)
SYSTEMDRIVE
\\Program Files
\\Application Data
\\intel
\\nvidia
\\Users\\All Users
\\Windows
\\Program Files\\Microsoft\\Exchange Server
\\Program Files (x86)\\Microsoft\\Exchange Server
\\Program Files\\Microsoft SQL Server
\\Program Files (x86)\\Microsoft SQL Server
透過重啟來判定檔案開啟與加密與否 從而讓更多的檔案進行加密;
檔案進行加密:
加密公鑰:
BgIAAACkAABSU0ExAAgAAAEAAQBtv9E5cdLPoTK8PwG0VTbxxURbhYM00jmY1b22v+Nwoe6+Vi6zHYcP5JmmueP4FBZBwANscT6dGxHpP4f4l9L9b/VLT6npX7+821EksPXaUJ8piYp8TCQPKRLJt6v7foVnI7jRW//K0wX9YmF7JWbBQROHPQTX7g3CQqZM7xGT4PfMa8g7+UBbstiEThpJo8PE1pgHfZrUFyiMwAv1hoXvaWVeAHKGOvoV+pKZ6Qi2fBCyJFmfL3hChhDWzIjp5oWd3l/RuSgET1sNAV8lkQPpf80OwlxFls5C8OnoG2d7eZJXDhcelK6K67Pp1Y6nC/B5mGpMhERMGnzSg9JkcrOn
缺少私鑰所以無法解密.
與本地網路建立連結,查詢共享;
查詢SMB共享,除了帶有$的共享其他都新增到列表中;
每個搜尋的目錄下建立勒索資訊檔案HOW_TO_RECOVER_DATA.html 告訴受害者如何購買比特幣。
加固建議
1. 儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
2. 儘量避免開啟不明郵件;
3. 定期檢測系統漏洞並且及時進行補丁修復。
深信服安全產品解決方案
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。