不修改加密文件名的勒索軟件TeslaCrypt 4.0
SwordLea · 2016/04/08 13:04php
0x00 概述
安天安全研究與應急處理中心(Antiy CERT)近期發現勒索軟件TeslaCrypt的最新變種TeslaCrypt 4.0,它具備多種特性,例如:加密文件後不修改原文件名、對抗安全工具、具備PDB路徑、利用CMD自啓動、使用很是規的函數調用、同一域名能夠下載多個勒索軟件等。css
勒索軟件TeslaCrypt在2015年2月份左右被發現【1】,它是在Cryptolocker的基礎上修改而成。在其第一個版本中,TeslaCrypt聲稱使用非對稱RSA-2048加密算法,但實際上使用的是對稱的AES加密算法,由此Cisco(思科)發佈了一款解密工具,在找到可恢復主密鑰的key.dat文件時,能夠解密被TeslaCrypt勒索加密的文件【2】;但在以後的多個版本中,勒索軟件TeslaCrypt開始使用非對稱的RSA加密算法,被加密的文件在無密鑰的狀況下已經沒法成功解密了,安天CERT發現,TeslaCrypt 4.0在2016年3月份開始出現,使用的是RSA-4096加密算法。html
勒索軟件系列事件的出現,具備多方面緣由,其中重要的一點是匿名網絡和匿名支付的高度成熟。2016年春節事後,勒索軟件Locky開始爆發,全球多家安全廠商發佈了相應的報告,安天CERT也在2016年2月19日發佈了《首例具備中文提示的比特幣勒索軟件「LOCKY」》【3】;2016年3月底,G-Data和趨勢前後發佈了修改MBR、加密整個硬盤的勒索軟件Petya的報告;2016年4月初,安天CERT開始跟蹤勒索軟件TeslaCrypt 4.0。jquery
0x01 傳播方式
勒索軟件TeslaCrypt 4.0利用網站掛馬和電子郵件進行傳播,在國內網站掛馬發現的較少,一般利用瀏覽器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞進行傳播;而利用電子郵件傳播的數量較多,安天CERT發現的多起勒索軟件事件也都是經過電子郵件傳播的。ios
圖 1 利用電子郵件傳播勒索軟件git
在分析TeslaCrypt的下載地址時,安天CERT研究人員發現,相同域名下存放多個TeslaCrypt 4.0程序,且文件HASH各不相同。例如:域名http://***|||pasqq.com,能夠下載TeslaCrypt 4.0的地址以下:ajax
http://***pasqq.com/23.exehttp://***pasqq.com/24.exehttp://***pasqq.com/25.exehttp://***pasqq.com/42.exehttp://***pasqq.com/45.exehttp://***pasqq.com/48.exehttp://***pasqq.com/69.exehttp://***pasqq.com/70.exehttp://***pasqq.com/80.exehttp://***pasqq.com/85.exehttp://***pasqq.com/87.exehttp://***pasqq.com/93.exe
另外,其餘域名中勒索軟件的下載地址同上,如:23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14時,安天CERT共發現具備下載勒索軟件TeslaCrypt 4.0的域名共50多個,部分域名已經失效。算法
部分下載勒索軟件TeslaCrypt 4.0的域名:swift
***pasqq.com***uereqq.com***ghsqq.com***rulescc.asia***rulesqq.com
0x02 樣本分析
安天CERT共發現近300個勒索軟件TeslaCrypt 4.0。研究人員在其中選擇了時間較新的樣本進行分析。瀏覽器
2.1 樣本標籤
| 病毒名稱 | Trojan[Ransom]/Win32.Teslacrypt |
| 原始文件名 | 80.exe |
| MD5 | 30CB7DB1371C01F930309CDB30FF429B |
| 處理器架構 | X86-32 |
| 文件大小 | 396 KB (405,504 字節) |
| 文件格式 | BinExecute/Microsoft.EXE[:X86] |
| 時間戳 | 5704939E -->2016-04-06 12:42:06 |
| 數字簽名 | NO |
| 加殼類型 | 未知 |
| 編譯語言 | Microsoft Visual C++ |
| VT首次上傳時間 | 2016-04-06 04:07:00 UTC |
| VT檢測結果 | 28/57 |
2.2 使用RSA4096加密算法加密文件,但不修改原文件名
該樣本運行後複製自身至%Application Data%文件夾中,重命名爲wlrmdr.exe,設置自身屬性爲隱藏,而後使用CreateProcessW爲其建立進程。
圖 2 建立wlrmdr.exe進程
樣本在新建立的進程中使用CreateThread開啓線程,對全盤文件進行加密。首先樣本使用GetLogicalDriveStringsW獲取全部邏輯驅動器,成功後使用FindFirstFileW與FindNextFileW遍歷全盤全部文件,進行加密。
圖 3 遍歷磁盤文件
加密函數地址爲0x0040190A。
圖 4 調用加密函數對遍歷到的文件加密
利用RSA4096算法加密後,調用WriteFile將加密後的數據由內存寫入文件,沒有對文件名作修改。
圖 5 將加密後的數據寫入文件
加密先後的文件對比:
圖 6加密先後的文件對比
2.3 對抗安全工具
樣本會查找系統中是否存在包含字符串的進程並將其隱藏,使用用戶沒法「看到」這些工具:
| 「taskmg」 | 任務管理器 |
| 「regedi」 | 註冊表管理器 |
| 「procex」 | 進程分析工具 |
| 「msconfi」 | 系統配置 |
| 「cmd」 | 命令提示符 |
圖 7 隱藏cmd界面
2.4 具備PDB信息
樣本具備PDB信息,其文件名爲「wet problem i yuoblem i_x.pdb」
圖 8 樣本的調試信息中包含PDB信息
2.5利用CMD自啓動
樣本調用RegCreateKeyExW,將使用CMD啓動自身的代碼寫入至註冊表中,使其隨系統開機啓動。
圖 9 利用CMD達到隨系統開機啓動的目的
2.6使用很是規的函數調用和跳轉
樣本使用了不少很是規的函數調用和跳轉,用來阻止安全人員分析該病毒。
圖 10 很是規的函數調用
圖 11 很是規的跳轉
2.7 TeslaCrypt 4.0加密的文件格式
圖 12 TeslaCrypt 4.0加密的文件格式
0x03 總結
勒索軟件對企業和我的用戶都具備極大的威脅,被加密後的文件沒法恢復,將給用戶形成巨大的損失。解決勒索軟件的威脅問題除安裝安全產品、防禦產品、備份產品外,更須要用戶在接收郵件時謹慎當心,慎重打開郵件附件或點擊郵件內的連接,尤爲是陌生人郵件。
安天智甲終端防禦系統(IEP)能夠在用戶誤點擊運行勒索軟件時阻止其對用戶文件進行加密。
0x04 附錄一:參考資料
- 【1】安天發佈:揭開勒索軟件的真面目
- 【2】思科發佈:針對勒索軟件TeslaCrypt的解密工具:
www.freebuf.com/sectool/660…
blogs.cisco.com/security/ta… - 【3】首例具備中文提示的比特幣勒索軟件「LOCKY」
0x05 附錄二:安天CERT發現的50多個傳播勒索軟件的域名
| marvellrulescc.asia | witchbehereqq.com | ohelloguymyff.com |
| arendroukysdqq.com | isityouereqq.com | joecockerhereff.com |
| blablaworldqq.com | jeansowghsqq.com | howisittomorrowff.com |
| fromjamaicaqq.com | marvellrulesqq.com | giveitalltheresqq.com |
| goonwithmazerqq.com | greetingseuropasqq.com | giveitallhereqq.com |
| gutentagmeinliebeqq.com | grandmahereqq.com | ohelloguyzzqq.com |
| hellomississmithqq.com | mafiawantsyouqq.com | jeansowghtqq.com |
| hellomisterbiznesqq.com | spannflow.com | grandaareyoucc.asia |
| hellomydearqq.com | ohelloguyqq.com | imgointoeatnowcc.com |
| helloyoungmanqq.com | bonjovijonqq.com | washitallawayff.com |
| howareyouqq.com | joecockerhereqq.com | greetingsjamajcaff.com |
| invoiceholderqq.com | itsyourtimeqq.su | hpalsowantsff.com |
| itisverygoodqq.com | blizzbauta.com | ohellowruff.com |
| lenovomaybenotqq.com | yesitisqqq.com | ohelloweuqq.com |
| lenovowantsyouqq.com | thisisitsqq.com | ujajajgogoff.com |
| mafianeedsyouqq.com | soclosebutyetqq.com | ohiyoungbuyff.com |
| mommycantakeff.com | isthereanybodyqq.com | helloyungmenqq.com |
| thisisyourchangeqq.com | ohelloguyff.com |
0x06 附錄三:安天CERT發現的C&C地址
- addagapublicschool.com/binfile.php
- kel52.com/wp-content/plugins/ajax-admin/binstr.php
- closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
- coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
- thejonesact.com/wp-content/themes/sketch/binfile.php
- theoneflooring.com/wp-content/themes/sketch/binfile.php
- mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
- myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
- controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
- sappmtraining.com/wp-includes/theme-compat/wcspng.php
- controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
- vtechshop.net/wcspng.php
- sappmtraining.com/wp-includes/theme-compat/wcspng.php
- shirongfeng.cn/images/lurd/wcspng.php
- 198.1.95.93/~deveconomytravel/cache/binstr.php
- helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
- hotcasinogames.org/binfile.php
- goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
- opravnatramvaji.cz/modules/mod_search/wstr.php
- studiosundaytv.com/wp-content/themes/sketch/binfile.php
- theoneflooring.com/wp-content/themes/sketch/binfile.php
- hotcasinogames.org/binfile.php
- pcgfund.com/binfile.php
- kknk-shop.dev.onnetdigital.com/stringfile.php
- forms.net.in/cgi-bin/stringfile.php
- casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
- csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
- grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
- naturstein-schubert.de/modules/mod_cmscore/stringfile.php
- vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
- starsoftheworld.org/cgi-bin/binarystings.php
- holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
- minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
- drcordoba.com/components/bstr.php
0x07 附錄四:關於安天
安天從反病毒引擎研發團隊起步,目前已發展成爲擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天曆經十五年持續積累,造成了海量安全威脅知識庫,並綜合應用網絡檢測、主機防護、未知威脅鑑定、大數據分析、安全可視化等方面經驗,推出了應對持續、高級威脅(APT)的先進產品和解決方案。安天技術實力獲得行業管理機構、客戶和夥伴的承認,安天已連續四屆蟬聯國家級安全應急支撐單位資質,亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是得到全球首個AV-TEST(2013)年度獎項的中國產品,全球超過十家以上的著名安全廠商都選擇安天做爲檢測能力合做夥伴。
- 1. 專家困惑了:勒索軟件TeslaCrypt解密主密鑰公開
- 2. 勒索軟件(勒索病毒)加解密原理和不能解密原因
- 3. 如何恢復部分WannaCry勒索軟件加密文件
- 4. Kangaroo勒索軟件曝光:暫無法解密已加密的文件
- 5. 最新.PRCP勒索病毒,連文件名稱都加密……
- 6. 修改文件頭的加密標誌位修復僞加密的zip文件
- 7. 修改nginx軟件名
- 8. 修改文件夾中的文件名
- 9. 用gpg加密軟件加密文件
- 10. 勒索軟件贖金該不該交?
- 更多相關文章...
- • XSL-FO 軟件 - XSL-FO 教程
- • ASP Global.asa 文件 - ASP 教程
- • SpringBoot中properties文件不能自動提示解決方法
- • IntelliJ IDEA中SpringBoot properties文件不能自動提示問題解決
-
每一个你不满意的现在,都有一个你没有努力的曾经。