Medusalocker勒索病毒,小心勒索加密無得解

深信服千里目發表於2020-12-04

背景概述

近日,深信服安全團隊接到使用者的勒索求助,排查發現是一款名為MedusaLocker的勒索軟體家族。勒索病毒家族具有一些獨特的功能,它不僅會感染本地計算機而且還會透過網路進行擴散,對其他主機進行加密

為了最大程度地在受感染機器上成功加密檔案,並且保證使用者能夠支付贖金,MedusaLocker勒索病毒不會對可執行檔案進行加密。其使用AES和RSA-2048的組合,使得加密的檔案解密變成不太可能。

在本文中,我們將介紹MedusaLocker勒索病毒的工作原理。

情報分析

樣本名稱

skynet.exe

樣本型別

exe

惡意型別

勒索病毒

Sha256

fbf6c8f0857d888385f6bc0d46523ebcc1634e06d0e96411fc43a8ae4213d1f3

 

勒索資訊:

Medusalocker勒索病毒,小心勒索加密無得解

技術分析

ida動態獲取sig伺服器命名,直接定位到winmain,建立了一個硬編碼的{8761ABBD-7F85-42EE-B272-A76179687C63}互斥訊號量,操作之前檢查mutex是否存在;

Medusalocker勒索病毒,小心勒索加密無得解


透過這個函式判斷是Admin還是user賬戶執行;

Medusalocker勒索病毒,小心勒索加密無得解 


使用GetTokenInformation確定許可權;

Medusalocker勒索病毒,小心勒索加密無得解


UAC繞過,使用CMSTP是一個與Microsoft連線管理器配置檔案安裝程式關聯的二進位制檔案。它接受INF檔案,這些檔案可以透過惡意命令武器化,以指令碼(SCT)和DLL的形式執行任意程式碼;

Medusalocker勒索病毒,小心勒索加密無得解

Medusalocker勒索病毒,小心勒索加密無得解


建立了新的登錄檔值:

Medusalocker勒索病毒,小心勒索加密無得解

HKEY_CURRENT_USER\SOFTWARE\MDSLK\Self

建立計劃性任務計劃指向%AppData%\Roaming\svhost.exe

Medusalocker勒索病毒,小心勒索加密無得解 

 

建立時間間隔PT x M,使用Microsoft程式碼建立任務,從而過檢測;

Medusalocker勒索病毒,小心勒索加密無得解


檢測服務名稱是否與預先定義的列表匹配,如果匹配就終止服務;

Medusalocker勒索病毒,小心勒索加密無得解

 

列表:

wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,sqlwriter,msmdsrv,tomcat6,zhudongfangyu,SQLADHLP,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8

wxServer.exe,wxServerView,sqlservr.exe,sqlmangr.exe,RAgui.exe,supervise.exe,Culture.exe,RTVscan.exe,Defwatch.exe,sqlbrowser.exe,winword.exe,QBW32.exe,QBDBMgr.exe,qbupdate.exe,QBCFMonitorService.exe,axlbridge.exe,QBIDPService.exe,httpd.exe,fdlauncher.exe,MsDtSrvr.exe,tomcat6.exe,java.exe,360se.exe,360doctor.exe,wdswfsafe.exe,fdlauncher.exe,fdhost.exe,GDscan.exe,ZhuDongFangYu.exe

 

如果字尾名是:.csv,.sql,.mdf,.NDF,.SQLITEDB,.DDL,.SQLITE,.SQLITE3,.LDF,.EDB,.FDB,.FBK,.DBF,即檔案內容全部加密。

 

若檔案為勒索資訊提示檔案HOW_TO_RECOVER_DATA.html,或是副檔名型別屬於可執行檔案和配置檔案,同樣不進行加密

可執行檔案和配置檔案列表:

.exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted,.READINSTRUCTIONS,.recoverme,.Readinstructions,.hivteam,.hiv,.386,.adv,.ani,.bat,.bin,.cab,.cmd,.com,.cpl,.cur,.deskthemepack,.diagcab,.diagcfg,.diagpkg,.dll,.drv,.exe,.hlp,.icl,.icns,.ico,.ics,.idx,.ldf,.lnk,.log,.mod,.mpa,.msc,.msp,.msstyles,.msu,.nls,.nomedia,.ocx,.prf,.ps1,.rom,.rtp,.scr,.shs,.spl,.sys,.theme,.themepack,.wpx,.lock,.key,.hta,.msi,.enc,.deadfiles,.lockernetwork,.monster,.NETFULL,.shanghai,.support,.DE,.netlock,.BR,.LOCK,.shanghai2,.monster,.MY,.GR,.ID,.MA,.HU,.IN,.BG,.titan,.cryptocrypto,.dodik,.shanghai3,.TW,.shanghai4,.AU,.lockes,.DEDE,.RS,.local,.shanghai5,.shanghai6,.shanghai7,.locklock,.AULOCK,.FRFR,.lockers,.PedroChicken,.DogUlitos,.datalock,.stopfiles,.viets,.ILLOCK,.GBLOCK,.lokes,.KRLOCK,.AU,.KRLOCK2,.KRLOCK3,.KRLOCK4,.shanghai8,.sglock,.shanghai9,.shan,.EG,.grgr,.locks,.CN,.CN2,.locklock,.cnlock,.netlock,.netlock2,.vikings,.usus,.lockfilesus,.creepers,.shanghaiX,.kwlock,.mzlock,.lklock,.zoomzoom,.lockfiles,.shanghai11pro,.locklock,.wtf,.diablo,.nett,.lock,.de,.IL,.cn,.batman,.valhalla,.mx,.barracuda,.scheisse,.EG,.IT,.kw,.fr,.babadook,.tw,.us,.Readinstructions,.diablo,.KR,.kimchin,.help,.lt,.us,.skynet,.au,.ZA,.AR,.dolock,.uslock,.ReadInstructions,.zalock,.detrov,.skynet

 

禁止系統恢復,使用vssadmin,WMI刪除所有卷,使用bcdedit命令防止啟動時候進入恢復模式;

Medusalocker勒索病毒,小心勒索加密無得解

 

清除回收站;

Medusalocker勒索病毒,小心勒索加密無得解


傳入的a1 = 1,普通使用者和管理員許可權下都可以使用網路共享;

Medusalocker勒索病毒,小心勒索加密無得解


帶有$的檔案和資料夾不加密,不加密的檔案以及資料夾列表。

Medusalocker勒索病毒,小心勒索加密無得解 

不加密的檔案以及資料夾列表:

ALLUSERSPROFILE

PUBLIC

TMP

USERPROFILE

\\AppData

ProgramData

PROGRAMFILES(x86)

SYSTEMDRIVE

\\Program Files

\\Application Data

\\intel

\\nvidia

\\Users\\All Users

\\Windows

\\Program Files\\Microsoft\\Exchange Server

\\Program Files (x86)\\Microsoft\\Exchange Server

\\Program Files\\Microsoft SQL Server

\\Program Files (x86)\\Microsoft SQL Server

 

透過重啟來判定檔案開啟與加密與否 從而讓更多的檔案進行加密;

Medusalocker勒索病毒,小心勒索加密無得解


檔案進行加密:

Medusalocker勒索病毒,小心勒索加密無得解

 

加密公鑰:

BgIAAACkAABSU0ExAAgAAAEAAQBtv9E5cdLPoTK8PwG0VTbxxURbhYM00jmY1b22v+Nwoe6+Vi6zHYcP5JmmueP4FBZBwANscT6dGxHpP4f4l9L9b/VLT6npX7+821EksPXaUJ8piYp8TCQPKRLJt6v7foVnI7jRW//K0wX9YmF7JWbBQROHPQTX7g3CQqZM7xGT4PfMa8g7+UBbstiEThpJo8PE1pgHfZrUFyiMwAv1hoXvaWVeAHKGOvoV+pKZ6Qi2fBCyJFmfL3hChhDWzIjp5oWd3l/RuSgET1sNAV8lkQPpf80OwlxFls5C8OnoG2d7eZJXDhcelK6K67Pp1Y6nC/B5mGpMhERMGnzSg9JkcrOn

Medusalocker勒索病毒,小心勒索加密無得解 

缺少私鑰所以無法解密.

與本地網路建立連結,查詢共享;

Medusalocker勒索病毒,小心勒索加密無得解 

查詢SMB共享,除了帶有$的共享其他都新增到列表中;

Medusalocker勒索病毒,小心勒索加密無得解

每個搜尋的目錄下建立勒索資訊檔案HOW_TO_RECOVER_DATA.html 告訴受害者如何購買比特幣。

加固建議

1. 儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

2.  儘量避免開啟不明郵件;

3.  定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

Medusalocker勒索病毒,小心勒索加密無得解

2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章