基础知识
勒索病毒:它的特征即磁盘文件被加密,一旦完成勒索过程则无法恢复文件,因此这类病毒以预防为主,安装杀毒软件并做好主机防黑工作及时打补丁,对重要文件要及时隔离备份。
RC4:它是对称加密算法(加解密使用同一个密钥),它是可变密钥长度,面向字节操作的流密码。加解密过程都是按字节逐个处理的。设明文是in、密文是out、密钥流是s,对于加密,out[n] = in[n] ^ s[n],对于解密,in[n] = out[n] ^ s[n]。也就是说,明文、密文、密钥流的长度都相同,加密和解密的过程也完全相同
背景
通过在某网盘上看到提供很多可免费下载的外挂样本,就下载一个“穿越火线”的外挂样本玩玩,但是通过测试分析发现该外挂样本是一个披着羊皮的狼,它是一款国人开发的并采用易语言开发的勒索软件样本。
当用户在下载样本后,并点击启动游戏外挂应用程序后,它会释放勒索病毒在预定的时间以服务方式启动。
该样本是中国版的勒索病毒竟然是以微信支付作为赎金方式,一旦点击启动将加密用户电脑内除特定格式外的所有文件及资料,加密后文件的后缀被修改为.SafeSound
功能分析
该样本执行后,会将.data区段中的勒索功能的硬编码,也就是病毒文件释放到C:\Users\username\Documents\目录下并自动将文件设置隐藏属性。
下图是释放safesound.dll文件的。
SafeSound.dll它提供导出函数InsertSvc,会在主程序加载SafeSound.dll模块之后调用其导出函数功能。
该样本启动后还会在注册表中有动作,它会创建一个名为”SafeSound”的服务:ServiceDll: C:\Users\win7\Documents\SafeSound.dll(可通过processmonitor进程监控工具分析样本启动过程中的文件操作、注册表操作、网络相关操作等等)
样本首次启动时在C:\Windows\Temp下存放trigger文件, 写入的时间是当前系统时间三天后时间。
当样本运行后或者电脑重新重启时样本随服务启动时,会时间点进行验证。如果当前时间点是trigger文件中所标记时间点则开始进入加密流程。
文件加密时判断文件后缀格式,不会对下列格式进行加密,生成0x40随机数通过下图预置字符表进行字符转换。还会将密钥进行释放到临时文件C:\Windows\Temp\Key.data中,Key文件共有0x48字节,前4字节用于校验解码密钥,4-8字节为异或加密的密钥,最后0x40字节为解密文件的长密钥,并且采用RC4进行加密。
其中SafeSound.hash文件,它是用于勒索病毒样本提供文件加密的清单信息。
执行在加密磁盘文件后,最后再释放出可执行程序Antidote.exe。该程序是勒索样本提供的勒索信息+解密器一体的可执行程序,最后该样本作者通过微信向受害者索要赎金。
小结
1、网络安全意识还是要有的,在各种网站下载不明文件时还是要提高警惕,不可直接运行可疑程序,在运行之前可先用主流的病毒查收软件进行查杀下病毒。安全做法可在虚拟机上线跑下程序,看下程序是否有啥猫腻。2、电脑环境还是要安装病毒查杀软件,并且要开启监控,更新病毒库和程序模块。3、定期备份保存好重要的资料和数据,降低中病毒后带来的损失。4、病毒样本一般可通过文件、进程、系统信息和日志信息进行排查病毒的行为。5、中了病毒后,可采取断网隔离方式、解密掉被加密的系统、或者重装系统。结束
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
