不修改加密檔名的勒索軟體TeslaCrypt 4.0

wyzsk發表於2020-08-19
作者: SwordLea · 2016/04/08 13:04

0x00 概述


安天安全研究與應急處理中心(Antiy CERT)近期發現勒索軟體TeslaCrypt的最新變種TeslaCrypt 4.0,它具有多種特性,例如:加密檔案後不修改原檔名、對抗安全工具、具有PDB路徑、利用CMD自啟動、使用非常規的函式呼叫、同一域名可以下載多個勒索軟體等。

勒索軟體TeslaCrypt在2015年2月份左右被發現,它是在Cryptolocker的基礎上修改而成。在其第一個版本中,TeslaCrypt聲稱使用非對稱RSA-2048加密演算法,但實際上使用的是對稱的AES加密演算法,由此Cisco(思科)釋出了一款解密工具,在找到可恢復主金鑰的key.dat檔案時,可以解密被TeslaCrypt勒索加密的檔案;但在之後的多個版本中,勒索軟體TeslaCrypt開始使用非對稱的RSA加密演算法,被加密的檔案在無金鑰的情況下已經無法成功解密了,安天CERT發現,TeslaCrypt 4.0在2016年3月份開始出現,使用的是RSA-4096加密演算法。

勒索軟體系列事件的出現,具有多方面原因,其中重要的一點是匿名網路和匿名支付的高度成熟。2016年春節過後,勒索軟體Locky開始爆發,全球多家安全廠商釋出了相應的報告,安天CERT也在2016年2月19日釋出了《首例具有中文提示的比特幣勒索軟體“LOCKY”》;2016年3月底,G-Data和趨勢先後釋出了修改MBR、加密整個硬碟的勒索軟體Petya的報告;2016年4月初,安天CERT開始跟蹤勒索軟體TeslaCrypt 4.0。

0x01 傳播方式


勒索軟體TeslaCrypt 4.0利用網站掛馬和電子郵件進行傳播,在國內網站掛馬發現的較少,通常利用瀏覽器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞進行傳播;而利用電子郵件傳播的數量較多,安天CERT發現的多起勒索軟體事件也都是透過電子郵件傳播的。

p1 圖 1 利用電子郵件傳播勒索軟體

在分析TeslaCrypt的下載地址時,安天CERT研究人員發現,相同域名下存放多個TeslaCrypt 4.0程式,且檔案HASH各不相同。例如:域名http://***|||pasqq.com,可以下載TeslaCrypt 4.0的地址如下:

  • http://***pasqq.com/23.exe
  • http://***pasqq.com/24.exe
  • http://***pasqq.com/25.exe
  • http://***pasqq.com/42.exe
  • http://***pasqq.com/45.exe
  • http://***pasqq.com/48.exe
  • http://***pasqq.com/69.exe
  • http://***pasqq.com/70.exe
  • http://***pasqq.com/80.exe
  • http://***pasqq.com/85.exe
  • http://***pasqq.com/87.exe
  • http://***pasqq.com/93.exe

另外,其他域名中勒索軟體的下載地址同上,如:23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14時,安天CERT共發現具有下載勒索軟體TeslaCrypt 4.0的域名共50多個,部分域名已經失效。

部分下載勒索軟體TeslaCrypt 4.0的域名:

  • ***pasqq.com
  • ***uereqq.com
  • ***ghsqq.com
  • ***rulescc.asia
  • ***rulesqq.com

0x02 樣本分析


安天CERT共發現近300個勒索軟體TeslaCrypt 4.0。研究人員在其中選擇了時間較新的樣本進行分析。

2.1 樣本標籤

病毒名稱 Trojan[Ransom]/Win32.Teslacrypt
原始檔名 80.exe
MD5 30CB7DB1371C01F930309CDB30FF429B
處理器架構 X86-32
檔案大小 396 KB (405,504 位元組)
檔案格式 BinExecute/Microsoft.EXE[:X86]
時間戳 5704939E -->2016-04-06 12:42:06
數字簽名 NO
加殼型別 未知
編譯語言 Microsoft Visual C++
VT首次上傳時間 2016-04-06 04:07:00 UTC
VT檢測結果 28/57

2.2 使用RSA4096加密演算法加密檔案,但不修改原檔名

該樣本執行後複製自身至%Application Data%資料夾中,重新命名為wlrmdr.exe,設定自身屬性為隱藏,然後使用CreateProcessW為其建立程式。

p2 圖 2 建立wlrmdr.exe程式

樣本在新建立的程式中使用CreateThread開啟執行緒,對全盤檔案進行加密。首先樣本使用GetLogicalDriveStringsW獲取所有邏輯驅動器,成功後使用FindFirstFileW與FindNextFileW遍歷全盤所有檔案,進行加密。

p3 圖 3 遍歷磁碟檔案

加密函式地址為0x0040190A。

p4 圖 4 呼叫加密函式對遍歷到的檔案加密

利用RSA4096演算法加密後,呼叫WriteFile將加密後的資料由記憶體寫入檔案,沒有對檔名做修改。

p5 圖 5 將加密後的資料寫入檔案

加密前後的檔案對比:

p6 圖 6加密前後的檔案對比

2.3 對抗安全工具

樣本會查詢系統中是否存在包含字串的程式並將其隱藏,使用使用者無法“看到”這些工具:

“taskmg” 工作管理員
“regedi” 登錄檔管理器
“procex” 程式分析工具
“msconfi” 系統配置
“cmd” 命令提示符

p7 圖 7 隱藏cmd介面

2.4 具有PDB資訊

樣本具有PDB資訊,其檔名為“wet problem i yuoblem i_x.pdb

p8 圖 8 樣本的除錯資訊中包含PDB資訊

2.5利用CMD自啟動

樣本呼叫RegCreateKeyExW,將使用CMD啟動自身的程式碼寫入至登錄檔中,使其隨系統開機啟動。

p9 圖 9 利用CMD達到隨系統開機啟動的目的

2.6使用非常規的函式呼叫和跳轉

樣本使用了很多非常規的函式呼叫和跳轉,用來阻止安全人員分析該病毒。

p10 圖 10 非常規的函式呼叫

p11 圖 11 非常規的跳轉

2.7 TeslaCrypt 4.0加密的檔案格式

p12 圖 12 TeslaCrypt 4.0加密的檔案格式

0x03 總結


勒索軟體對企業和個人使用者都具有極大的威脅,被加密後的檔案無法恢復,將給使用者造成巨大的損失。解決勒索軟體的威脅問題除安裝安全產品、防護產品、備份產品外,更需要使用者在接收郵件時謹慎小心,慎重開啟郵件附件或點選郵件內的連結,尤其是陌生人郵件。

安天智甲終端防護系統(IEP)可以在使用者誤點選執行勒索軟體時阻止其對使用者檔案進行加密。

0x04 附錄一:參考資料


0x05 附錄二:安天CERT發現的50多個傳播勒索軟體的域名


marvellrulescc.asia witchbehereqq.com ohelloguymyff.com
arendroukysdqq.com isityouereqq.com joecockerhereff.com
blablaworldqq.com jeansowghsqq.com howisittomorrowff.com
fromjamaicaqq.com marvellrulesqq.com giveitalltheresqq.com
goonwithmazerqq.com greetingseuropasqq.com giveitallhereqq.com
gutentagmeinliebeqq.com grandmahereqq.com ohelloguyzzqq.com
hellomississmithqq.com mafiawantsyouqq.com jeansowghtqq.com
hellomisterbiznesqq.com spannflow.com grandaareyoucc.asia
hellomydearqq.com ohelloguyqq.com imgointoeatnowcc.com
helloyoungmanqq.com bonjovijonqq.com washitallawayff.com
howareyouqq.com joecockerhereqq.com greetingsjamajcaff.com
invoiceholderqq.com itsyourtimeqq.su hpalsowantsff.com
itisverygoodqq.com blizzbauta.com ohellowruff.com
lenovomaybenotqq.com yesitisqqq.com ohelloweuqq.com
lenovowantsyouqq.com thisisitsqq.com ujajajgogoff.com
mafianeedsyouqq.com soclosebutyetqq.com ohiyoungbuyff.com
mommycantakeff.com isthereanybodyqq.com helloyungmenqq.com
thisisyourchangeqq.com ohelloguyff.com

0x06 附錄三:安天CERT發現的C&C地址


  • addagapublicschool.com/binfile.php
  • kel52.com/wp-content/plugins/ajax-admin/binstr.php
  • closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
  • coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
  • thejonesact.com/wp-content/themes/sketch/binfile.php
  • theoneflooring.com/wp-content/themes/sketch/binfile.php
  • mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
  • myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
  • controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
  • sappmtraining.com/wp-includes/theme-compat/wcspng.php
  • controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
  • vtechshop.net/wcspng.php
  • sappmtraining.com/wp-includes/theme-compat/wcspng.php
  • shirongfeng.cn/images/lurd/wcspng.php
  • 198.1.95.93/~deveconomytravel/cache/binstr.php
  • helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
  • hotcasinogames.org/binfile.php
  • goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
  • opravnatramvaji.cz/modules/mod_search/wstr.php
  • studiosundaytv.com/wp-content/themes/sketch/binfile.php
  • theoneflooring.com/wp-content/themes/sketch/binfile.php
  • hotcasinogames.org/binfile.php
  • pcgfund.com/binfile.php
  • kknk-shop.dev.onnetdigital.com/stringfile.php
  • forms.net.in/cgi-bin/stringfile.php
  • casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
  • csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
  • grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
  • naturstein-schubert.de/modules/mod_cmscore/stringfile.php
  • vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
  • starsoftheworld.org/cgi-bin/binarystings.php
  • holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
  • minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
  • drcordoba.com/components/bstr.php

0x07 附錄四:關於安天


安天從反病毒引擎研發團隊起步,目前已發展成為擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天曆經十五年持續積累,形成了海量安全威脅知識庫,並綜合應用網路檢測、主機防禦、未知威脅鑑定、大資料分析、安全視覺化等方面經驗,推出了應對持續、高階威脅(APT)的先進產品和解決方案。安天技術實力得到行業管理機構、客戶和夥伴的認可,安天已連續四屆蟬聯國家級安全應急支撐單位資質,亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是獲得全球首個AV-TEST(2013)年度獎項的中國產品,全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章