不修改加密文件名的勒索软件TeslaCrypt 4.0
SwordLea · 2016/04/08 13:04php
0x00 概述
安天安全研究与应急处理中心(Antiy CERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具备多种特性,例如:加密文件后不修改原文件名、对抗安全工具、具备PDB路径、利用CMD自启动、使用很是规的函数调用、同一域名能够下载多个勒索软件等。css
勒索软件TeslaCrypt在2015年2月份左右被发现【1】,它是在Cryptolocker的基础上修改而成。在其第一个版本中,TeslaCrypt声称使用非对称RSA-2048加密算法,但实际上使用的是对称的AES加密算法,由此Cisco(思科)发布了一款解密工具,在找到可恢复主密钥的key.dat文件时,能够解密被TeslaCrypt勒索加密的文件【2】;但在以后的多个版本中,勒索软件TeslaCrypt开始使用非对称的RSA加密算法,被加密的文件在无密钥的状况下已经没法成功解密了,安天CERT发现,TeslaCrypt 4.0在2016年3月份开始出现,使用的是RSA-4096加密算法。html
勒索软件系列事件的出现,具备多方面缘由,其中重要的一点是匿名网络和匿名支付的高度成熟。2016年春节事后,勒索软件Locky开始爆发,全球多家安全厂商发布了相应的报告,安天CERT也在2016年2月19日发布了《首例具备中文提示的比特币勒索软件“LOCKY”》【3】;2016年3月底,G-Data和趋势前后发布了修改MBR、加密整个硬盘的勒索软件Petya的报告;2016年4月初,安天CERT开始跟踪勒索软件TeslaCrypt 4.0。jquery
0x01 传播方式
勒索软件TeslaCrypt 4.0利用网站挂马和电子邮件进行传播,在国内网站挂马发现的较少,一般利用浏览器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞进行传播;而利用电子邮件传播的数量较多,安天CERT发现的多起勒索软件事件也都是经过电子邮件传播的。ios
图 1 利用电子邮件传播勒索软件git
在分析TeslaCrypt的下载地址时,安天CERT研究人员发现,相同域名下存放多个TeslaCrypt 4.0程序,且文件HASH各不相同。例如:域名http://***|||pasqq.com,能够下载TeslaCrypt 4.0的地址以下:ajax
http://***pasqq.com/23.exehttp://***pasqq.com/24.exehttp://***pasqq.com/25.exehttp://***pasqq.com/42.exehttp://***pasqq.com/45.exehttp://***pasqq.com/48.exehttp://***pasqq.com/69.exehttp://***pasqq.com/70.exehttp://***pasqq.com/80.exehttp://***pasqq.com/85.exehttp://***pasqq.com/87.exehttp://***pasqq.com/93.exe
另外,其余域名中勒索软件的下载地址同上,如:23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14时,安天CERT共发现具备下载勒索软件TeslaCrypt 4.0的域名共50多个,部分域名已经失效。算法
部分下载勒索软件TeslaCrypt 4.0的域名:swift
***pasqq.com***uereqq.com***ghsqq.com***rulescc.asia***rulesqq.com
0x02 样本分析
安天CERT共发现近300个勒索软件TeslaCrypt 4.0。研究人员在其中选择了时间较新的样本进行分析。浏览器
2.1 样本标签
| 病毒名称 | Trojan[Ransom]/Win32.Teslacrypt |
| 原始文件名 | 80.exe |
| MD5 | 30CB7DB1371C01F930309CDB30FF429B |
| 处理器架构 | X86-32 |
| 文件大小 | 396 KB (405,504 字节) |
| 文件格式 | BinExecute/Microsoft.EXE[:X86] |
| 时间戳 | 5704939E -->2016-04-06 12:42:06 |
| 数字签名 | NO |
| 加壳类型 | 未知 |
| 编译语言 | Microsoft Visual C++ |
| VT首次上传时间 | 2016-04-06 04:07:00 UTC |
| VT检测结果 | 28/57 |
2.2 使用RSA4096加密算法加密文件,但不修改原文件名
该样本运行后复制自身至%Application Data%文件夹中,重命名为wlrmdr.exe,设置自身属性为隐藏,而后使用CreateProcessW为其建立进程。
图 2 建立wlrmdr.exe进程
样本在新建立的进程中使用CreateThread开启线程,对全盘文件进行加密。首先样本使用GetLogicalDriveStringsW获取全部逻辑驱动器,成功后使用FindFirstFileW与FindNextFileW遍历全盘全部文件,进行加密。
图 3 遍历磁盘文件
加密函数地址为0x0040190A。
图 4 调用加密函数对遍历到的文件加密
利用RSA4096算法加密后,调用WriteFile将加密后的数据由内存写入文件,没有对文件名作修改。
图 5 将加密后的数据写入文件
加密先后的文件对比:
图 6加密先后的文件对比
2.3 对抗安全工具
样本会查找系统中是否存在包含字符串的进程并将其隐藏,使用用户没法“看到”这些工具:
| “taskmg” | 任务管理器 |
| “regedi” | 注册表管理器 |
| “procex” | 进程分析工具 |
| “msconfi” | 系统配置 |
| “cmd” | 命令提示符 |
图 7 隐藏cmd界面
2.4 具备PDB信息
样本具备PDB信息,其文件名为“wet problem i yuoblem i_x.pdb”
图 8 样本的调试信息中包含PDB信息
2.5利用CMD自启动
样本调用RegCreateKeyExW,将使用CMD启动自身的代码写入至注册表中,使其随系统开机启动。
图 9 利用CMD达到随系统开机启动的目的
2.6使用很是规的函数调用和跳转
样本使用了不少很是规的函数调用和跳转,用来阻止安全人员分析该病毒。
图 10 很是规的函数调用
图 11 很是规的跳转
2.7 TeslaCrypt 4.0加密的文件格式
图 12 TeslaCrypt 4.0加密的文件格式
0x03 总结
勒索软件对企业和我的用户都具备极大的威胁,被加密后的文件没法恢复,将给用户形成巨大的损失。解决勒索软件的威胁问题除安装安全产品、防御产品、备份产品外,更须要用户在接收邮件时谨慎当心,慎重打开邮件附件或点击邮件内的连接,尤为是陌生人邮件。
安天智甲终端防御系统(IEP)能够在用户误点击运行勒索软件时阻止其对用户文件进行加密。
0x04 附录一:参考资料
- 【1】安天发布:揭开勒索软件的真面目
- 【2】思科发布:针对勒索软件TeslaCrypt的解密工具:
www.freebuf.com/sectool/660…
blogs.cisco.com/security/ta… - 【3】首例具备中文提示的比特币勒索软件“LOCKY”
0x05 附录二:安天CERT发现的50多个传播勒索软件的域名
| marvellrulescc.asia | witchbehereqq.com | ohelloguymyff.com |
| arendroukysdqq.com | isityouereqq.com | joecockerhereff.com |
| blablaworldqq.com | jeansowghsqq.com | howisittomorrowff.com |
| fromjamaicaqq.com | marvellrulesqq.com | giveitalltheresqq.com |
| goonwithmazerqq.com | greetingseuropasqq.com | giveitallhereqq.com |
| gutentagmeinliebeqq.com | grandmahereqq.com | ohelloguyzzqq.com |
| hellomississmithqq.com | mafiawantsyouqq.com | jeansowghtqq.com |
| hellomisterbiznesqq.com | spannflow.com | grandaareyoucc.asia |
| hellomydearqq.com | ohelloguyqq.com | imgointoeatnowcc.com |
| helloyoungmanqq.com | bonjovijonqq.com | washitallawayff.com |
| howareyouqq.com | joecockerhereqq.com | greetingsjamajcaff.com |
| invoiceholderqq.com | itsyourtimeqq.su | hpalsowantsff.com |
| itisverygoodqq.com | blizzbauta.com | ohellowruff.com |
| lenovomaybenotqq.com | yesitisqqq.com | ohelloweuqq.com |
| lenovowantsyouqq.com | thisisitsqq.com | ujajajgogoff.com |
| mafianeedsyouqq.com | soclosebutyetqq.com | ohiyoungbuyff.com |
| mommycantakeff.com | isthereanybodyqq.com | helloyungmenqq.com |
| thisisyourchangeqq.com | ohelloguyff.com |
0x06 附录三:安天CERT发现的C&C地址
- addagapublicschool.com/binfile.php
- kel52.com/wp-content/plugins/ajax-admin/binstr.php
- closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
- coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
- thejonesact.com/wp-content/themes/sketch/binfile.php
- theoneflooring.com/wp-content/themes/sketch/binfile.php
- mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
- myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
- controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
- sappmtraining.com/wp-includes/theme-compat/wcspng.php
- controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
- vtechshop.net/wcspng.php
- sappmtraining.com/wp-includes/theme-compat/wcspng.php
- shirongfeng.cn/images/lurd/wcspng.php
- 198.1.95.93/~deveconomytravel/cache/binstr.php
- helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
- hotcasinogames.org/binfile.php
- goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
- opravnatramvaji.cz/modules/mod_search/wstr.php
- studiosundaytv.com/wp-content/themes/sketch/binfile.php
- theoneflooring.com/wp-content/themes/sketch/binfile.php
- hotcasinogames.org/binfile.php
- pcgfund.com/binfile.php
- kknk-shop.dev.onnetdigital.com/stringfile.php
- forms.net.in/cgi-bin/stringfile.php
- casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
- csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
- grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
- naturstein-schubert.de/modules/mod_cmscore/stringfile.php
- vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
- starsoftheworld.org/cgi-bin/binarystings.php
- holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
- minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
- drcordoba.com/components/bstr.php
0x07 附录四:关于安天
安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,造成了海量安全威胁知识库,并综合应用网络检测、主机防护、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力获得行业管理机构、客户和伙伴的承认,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是得到全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天做为检测能力合做伙伴。
- 1. 专家困惑了:勒索软件TeslaCrypt解密主密钥公开
- 2. 勒索软件(勒索病毒)加解密原理和不能解密原因
- 3. 如何恢复部分WannaCry勒索软件加密文件
- 4. Kangaroo勒索软件曝光:暂无法解密已加密的文件
- 5. 最新.PRCP勒索病毒,连文件名称都加密……
- 6. 修改文件头的加密标志位修复伪加密的zip文件
- 7. 修改nginx软件名
- 8. 修改文件夹中的文件名
- 9. 用gpg加密软件加密文件
- 10. 勒索软件赎金该不该交?
- 更多相关文章...
- • XSL-FO 软件 - XSL-FO 教程
- • ASP Global.asa 文件 - ASP 教程
- • SpringBoot中properties文件不能自动提示解决方法
- • IntelliJ IDEA中SpringBoot properties文件不能自动提示问题解决
-
每一个你不满意的现在,都有一个你没有努力的曾经。