不修改加密檔名的勒索軟體TeslaCrypt 4.0
0x00 概述
安天安全研究與應急處理中心(Antiy CERT)近期發現勒索軟體TeslaCrypt的最新變種TeslaCrypt 4.0,它具有多種特性,例如:加密檔案後不修改原檔名、對抗安全工具、具有PDB路徑、利用CMD自啟動、使用非常規的函式呼叫、同一域名可以下載多個勒索軟體等。
勒索軟體TeslaCrypt在2015年2月份左右被發現,它是在Cryptolocker的基礎上修改而成。在其第一個版本中,TeslaCrypt聲稱使用非對稱RSA-2048加密演算法,但實際上使用的是對稱的AES加密演算法,由此Cisco(思科)釋出了一款解密工具,在找到可恢復主金鑰的key.dat檔案時,可以解密被TeslaCrypt勒索加密的檔案;但在之後的多個版本中,勒索軟體TeslaCrypt開始使用非對稱的RSA加密演算法,被加密的檔案在無金鑰的情況下已經無法成功解密了,安天CERT發現,TeslaCrypt 4.0在2016年3月份開始出現,使用的是RSA-4096加密演算法。
勒索軟體系列事件的出現,具有多方面原因,其中重要的一點是匿名網路和匿名支付的高度成熟。2016年春節過後,勒索軟體Locky開始爆發,全球多家安全廠商釋出了相應的報告,安天CERT也在2016年2月19日釋出了《首例具有中文提示的比特幣勒索軟體“LOCKY”》;2016年3月底,G-Data和趨勢先後釋出了修改MBR、加密整個硬碟的勒索軟體Petya的報告;2016年4月初,安天CERT開始跟蹤勒索軟體TeslaCrypt 4.0。
0x01 傳播方式
勒索軟體TeslaCrypt 4.0利用網站掛馬和電子郵件進行傳播,在國內網站掛馬發現的較少,通常利用瀏覽器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞進行傳播;而利用電子郵件傳播的數量較多,安天CERT發現的多起勒索軟體事件也都是透過電子郵件傳播的。
圖 1 利用電子郵件傳播勒索軟體
在分析TeslaCrypt的下載地址時,安天CERT研究人員發現,相同域名下存放多個TeslaCrypt 4.0程式,且檔案HASH各不相同。例如:域名http://***|||pasqq.com,可以下載TeslaCrypt 4.0的地址如下:
http://***pasqq.com/23.exe
http://***pasqq.com/24.exe
http://***pasqq.com/25.exe
http://***pasqq.com/42.exe
http://***pasqq.com/45.exe
http://***pasqq.com/48.exe
http://***pasqq.com/69.exe
http://***pasqq.com/70.exe
http://***pasqq.com/80.exe
http://***pasqq.com/85.exe
http://***pasqq.com/87.exe
http://***pasqq.com/93.exe
另外,其他域名中勒索軟體的下載地址同上,如:23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14時,安天CERT共發現具有下載勒索軟體TeslaCrypt 4.0的域名共50多個,部分域名已經失效。
部分下載勒索軟體TeslaCrypt 4.0的域名:
***pasqq.com
***uereqq.com
***ghsqq.com
***rulescc.asia
***rulesqq.com
0x02 樣本分析
安天CERT共發現近300個勒索軟體TeslaCrypt 4.0。研究人員在其中選擇了時間較新的樣本進行分析。
2.1 樣本標籤
病毒名稱 | Trojan[Ransom]/Win32.Teslacrypt |
原始檔名 | 80.exe |
MD5 | 30CB7DB1371C01F930309CDB30FF429B |
處理器架構 | X86-32 |
檔案大小 | 396 KB (405,504 位元組) |
檔案格式 | BinExecute/Microsoft.EXE[:X86] |
時間戳 | 5704939E -->2016-04-06 12:42:06 |
數字簽名 | NO |
加殼型別 | 未知 |
編譯語言 | Microsoft Visual C++ |
VT首次上傳時間 | 2016-04-06 04:07:00 UTC |
VT檢測結果 | 28/57 |
2.2 使用RSA4096加密演算法加密檔案,但不修改原檔名
該樣本執行後複製自身至%Application Data%資料夾中,重新命名為wlrmdr.exe,設定自身屬性為隱藏,然後使用CreateProcessW為其建立程式。
圖 2 建立wlrmdr.exe程式
樣本在新建立的程式中使用CreateThread開啟執行緒,對全盤檔案進行加密。首先樣本使用GetLogicalDriveStringsW獲取所有邏輯驅動器,成功後使用FindFirstFileW與FindNextFileW遍歷全盤所有檔案,進行加密。
圖 3 遍歷磁碟檔案
加密函式地址為0x0040190A。
圖 4 呼叫加密函式對遍歷到的檔案加密
利用RSA4096演算法加密後,呼叫WriteFile將加密後的資料由記憶體寫入檔案,沒有對檔名做修改。
圖 5 將加密後的資料寫入檔案
加密前後的檔案對比:
圖 6加密前後的檔案對比
2.3 對抗安全工具
樣本會查詢系統中是否存在包含字串的程式並將其隱藏,使用使用者無法“看到”這些工具:
“taskmg” | 工作管理員 |
“regedi” | 登錄檔管理器 |
“procex” | 程式分析工具 |
“msconfi” | 系統配置 |
“cmd” | 命令提示符 |
圖 7 隱藏cmd介面
2.4 具有PDB資訊
樣本具有PDB資訊,其檔名為“wet problem i yuoblem i_x.pdb
”
圖 8 樣本的除錯資訊中包含PDB資訊
2.5利用CMD自啟動
樣本呼叫RegCreateKeyExW,將使用CMD啟動自身的程式碼寫入至登錄檔中,使其隨系統開機啟動。
圖 9 利用CMD達到隨系統開機啟動的目的
2.6使用非常規的函式呼叫和跳轉
樣本使用了很多非常規的函式呼叫和跳轉,用來阻止安全人員分析該病毒。
圖 10 非常規的函式呼叫
圖 11 非常規的跳轉
2.7 TeslaCrypt 4.0加密的檔案格式
圖 12 TeslaCrypt 4.0加密的檔案格式
0x03 總結
勒索軟體對企業和個人使用者都具有極大的威脅,被加密後的檔案無法恢復,將給使用者造成巨大的損失。解決勒索軟體的威脅問題除安裝安全產品、防護產品、備份產品外,更需要使用者在接收郵件時謹慎小心,慎重開啟郵件附件或點選郵件內的連結,尤其是陌生人郵件。
安天智甲終端防護系統(IEP)可以在使用者誤點選執行勒索軟體時阻止其對使用者檔案進行加密。
0x04 附錄一:參考資料
- 【1】安天釋出:揭開勒索軟體的真面目
- 【2】思科釋出:針對勒索軟體TeslaCrypt的解密工具:
http://www.freebuf.com/sectool/66060.html
http://blogs.cisco.com/security/talos/teslacrypt - 【3】首例具有中文提示的比特幣勒索軟體“LOCKY”
0x05 附錄二:安天CERT發現的50多個傳播勒索軟體的域名
marvellrulescc.asia | witchbehereqq.com | ohelloguymyff.com |
arendroukysdqq.com | isityouereqq.com | joecockerhereff.com |
blablaworldqq.com | jeansowghsqq.com | howisittomorrowff.com |
fromjamaicaqq.com | marvellrulesqq.com | giveitalltheresqq.com |
goonwithmazerqq.com | greetingseuropasqq.com | giveitallhereqq.com |
gutentagmeinliebeqq.com | grandmahereqq.com | ohelloguyzzqq.com |
hellomississmithqq.com | mafiawantsyouqq.com | jeansowghtqq.com |
hellomisterbiznesqq.com | spannflow.com | grandaareyoucc.asia |
hellomydearqq.com | ohelloguyqq.com | imgointoeatnowcc.com |
helloyoungmanqq.com | bonjovijonqq.com | washitallawayff.com |
howareyouqq.com | joecockerhereqq.com | greetingsjamajcaff.com |
invoiceholderqq.com | itsyourtimeqq.su | hpalsowantsff.com |
itisverygoodqq.com | blizzbauta.com | ohellowruff.com |
lenovomaybenotqq.com | yesitisqqq.com | ohelloweuqq.com |
lenovowantsyouqq.com | thisisitsqq.com | ujajajgogoff.com |
mafianeedsyouqq.com | soclosebutyetqq.com | ohiyoungbuyff.com |
mommycantakeff.com | isthereanybodyqq.com | helloyungmenqq.com |
thisisyourchangeqq.com | ohelloguyff.com |
0x06 附錄三:安天CERT發現的C&C地址
- addagapublicschool.com/binfile.php
- kel52.com/wp-content/plugins/ajax-admin/binstr.php
- closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
- coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
- thejonesact.com/wp-content/themes/sketch/binfile.php
- theoneflooring.com/wp-content/themes/sketch/binfile.php
- mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
- myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
- controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
- sappmtraining.com/wp-includes/theme-compat/wcspng.php
- controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
- vtechshop.net/wcspng.php
- sappmtraining.com/wp-includes/theme-compat/wcspng.php
- shirongfeng.cn/images/lurd/wcspng.php
- 198.1.95.93/~deveconomytravel/cache/binstr.php
- helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
- hotcasinogames.org/binfile.php
- goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
- opravnatramvaji.cz/modules/mod_search/wstr.php
- studiosundaytv.com/wp-content/themes/sketch/binfile.php
- theoneflooring.com/wp-content/themes/sketch/binfile.php
- hotcasinogames.org/binfile.php
- pcgfund.com/binfile.php
- kknk-shop.dev.onnetdigital.com/stringfile.php
- forms.net.in/cgi-bin/stringfile.php
- casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
- csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
- grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
- naturstein-schubert.de/modules/mod_cmscore/stringfile.php
- vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
- starsoftheworld.org/cgi-bin/binarystings.php
- holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
- minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
- drcordoba.com/components/bstr.php
0x07 附錄四:關於安天
安天從反病毒引擎研發團隊起步,目前已發展成為擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天曆經十五年持續積累,形成了海量安全威脅知識庫,並綜合應用網路檢測、主機防禦、未知威脅鑑定、大資料分析、安全視覺化等方面經驗,推出了應對持續、高階威脅(APT)的先進產品和解決方案。安天技術實力得到行業管理機構、客戶和夥伴的認可,安天已連續四屆蟬聯國家級安全應急支撐單位資質,亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是獲得全球首個AV-TEST(2013)年度獎項的中國產品,全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。
相關文章
- SQLServer資料庫中了勒索病毒加密,副檔名改為Lockbit2021-06-15SQLServer資料庫加密
- SQLServer資料庫中了勒索病毒加密,副檔名改為ReadInstructions2021-04-01SQLServer資料庫加密Struct
- SQLServer資料庫中了勒索病毒加密,副檔名改為Globeimposter-Alpha666qqz2021-02-25SQLServer資料庫加密
- “雙重勒索”勒索軟體結合加密與資料盜竊2020-04-17加密
- 巴爾的摩市已被加密貨幣勒索軟體困擾兩週2019-05-24加密
- 勒索軟體攻擊:如何透過加密保護您的資料2021-08-31加密
- 破解勒索軟體2020-08-19
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?2021-07-30
- Bart勒索軟體無需連線C&C伺服器就能加密感染裝置的檔案2017-07-03伺服器加密
- Hive勒索軟體升級為Rust,採用更復雜的加密方法2022-07-06HiveRust加密
- 改頭換面!DoppelPaymer勒索軟體重新命名為Grief2021-07-30
- 勒索軟體產業化的感想2020-08-12產業
- CMD批量改變檔名2014-04-15
- 勒索500萬美元!越南大型加密平臺遭與Log4j相關的勒索軟體攻擊2021-12-30加密
- 檔案五重加密!Sophos首次發現三種勒索軟體同時攻擊同一個網路2022-08-11加密
- linux/unix 批量改檔名2012-09-05Linux
- 電腦桌面檔案加密-迅軟資料加密軟體,穩定安全易操作2021-01-05加密
- 為什麼企業需要檔案加密軟體?企業使用檔案加密軟體的具體價值?江西風奧金甲EDS方案2020-12-03加密
- McAfee針對GandCrab勒索軟體的分析2018-08-31
- 自由軟體世界裡的“版權勒索”2017-06-30
- 如何應對勒索軟體的威脅2017-09-01
- 勒索軟體攻擊的階段:從最初訪問到勒索2023-03-14
- 文件透明加密軟體哪家好?window透明加密軟體產品如何對電子檔案加密?陝西風奧科技2020-12-15加密
- 合法軟體淪為勒索工具2020-06-11
- 勒索軟體攻擊影響2023-02-22
- 軟體加密方法的思考 (轉)2007-12-13加密
- Medusalocker勒索病毒,小心勒索加密無得解2020-12-04加密
- 金鋒檔案加密器4.0
(3千字)2002-09-29加密
- 批次對辦公軟體生成的電子檔案加密工具軟體,福建企業適合的文件加密方案,風奧科技2021-01-28加密
- 挫敗勒索軟體:Windows Defender迎來OneDrive檔案恢復功能2018-05-02Windows
- Android勒索軟體研究報告2020-08-19Android
- 勒索軟體簡介:BlackMatter2021-10-15
- 美國製裁加密貨幣交易所,因其為勒索軟體團伙服務2021-09-23加密
- Splunk:最快的勒索軟體是LockBit 僅用4分多鐘就加密了53GB的資料2022-03-29加密
- 安全穩定的檔案加密軟體如何選擇?江西適用於政企單位的透明加密軟體服務商風奧科技2021-03-19加密
- 利用勒索軟體Locky的漏洞來免疫系統2020-08-19
- 【推薦】最常用的勒索軟體防護工具!2023-05-17
- 近期勒索軟體呈現的5大趨勢2023-04-06