利用外挂样本进行勒索的分析

基础知识

勒索病毒:它的特征即磁盘文件被加密,一旦完成勒索过程则无法恢复文件,因此这类病毒以预防为主,安装杀毒软件并做好主机防黑工作及时打补丁,对重要文件要及时隔离备份。
RC4:它是对称加密算法(加解密使用同一个密钥),它是可变密钥长度,面向字节操作的流密码。加解密过程都是按字节逐个处理的。设明文是in、密文是out、密钥流是s,对于加密,out[n] = in[n] ^ s[n],对于解密,in[n] = out[n] ^ s[n]。也就是说,明文、密文、密钥流的长度都相同,加密和解密的过程也完全相同

背景

通过在某网盘上看到提供很多可免费下载的外挂样本,就下载一个“穿越火线”的外挂样本玩玩,但是通过测试分析发现该外挂样本是一个披着羊皮的狼,它是一款国人开发的并采用易语言开发的勒索软件样本。
在这里插入图片描述

当用户在下载样本后,并点击启动游戏外挂应用程序后,它会释放勒索病毒在预定的时间以服务方式启动。
在这里插入图片描述

该样本是中国版的勒索病毒竟然是以微信支付作为赎金方式,一旦点击启动将加密用户电脑内除特定格式外的所有文件及资料,加密后文件的后缀被修改为.SafeSound

功能分析

该样本执行后,会将.data区段中的勒索功能的硬编码,也就是病毒文件释放到C:\Users\username\Documents\目录下并自动将文件设置隐藏属性。
下图是释放safesound.dll文件的。
在这里插入图片描述

SafeSound.dll它提供导出函数InsertSvc,会在主程序加载SafeSound.dll模块之后调用其导出函数功能。
在这里插入图片描述

该样本启动后还会在注册表中有动作,它会创建一个名为”SafeSound”的服务:ServiceDll: C:\Users\win7\Documents\SafeSound.dll(可通过processmonitor进程监控工具分析样本启动过程中的文件操作、注册表操作、网络相关操作等等)
在这里插入图片描述

样本首次启动时在C:\Windows\Temp下存放trigger文件, 写入的时间是当前系统时间三天后时间。
在这里插入图片描述

当样本运行后或者电脑重新重启时样本随服务启动时,会时间点进行验证。如果当前时间点是trigger文件中所标记时间点则开始进入加密流程。
在这里插入图片描述

文件加密时判断文件后缀格式,不会对下列格式进行加密,生成0x40随机数通过下图预置字符表进行字符转换。还会将密钥进行释放到临时文件C:\Windows\Temp\Key.data中,Key文件共有0x48字节,前4字节用于校验解码密钥,4-8字节为异或加密的密钥,最后0x40字节为解密文件的长密钥,并且采用RC4进行加密。
在这里插入图片描述

其中SafeSound.hash文件,它是用于勒索病毒样本提供文件加密的清单信息。
在这里插入图片描述

执行在加密磁盘文件后,最后再释放出可执行程序Antidote.exe。该程序是勒索样本提供的勒索信息+解密器一体的可执行程序,最后该样本作者通过微信向受害者索要赎金。
在这里插入图片描述

小结

1、网络安全意识还是要有的,在各种网站下载不明文件时还是要提高警惕,不可直接运行可疑程序,在运行之前可先用主流的病毒查收软件进行查杀下病毒。安全做法可在虚拟机上线跑下程序,看下程序是否有啥猫腻。2、电脑环境还是要安装病毒查杀软件,并且要开启监控,更新病毒库和程序模块。3、定期备份保存好重要的资料和数据,降低中病毒后带来的损失。4、病毒样本一般可通过文件、进程、系统信息和日志信息进行排查病毒的行为。5、中了病毒后,可采取断网隔离方式、解密掉被加密的系统、或者重装系统。结束

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值