使用IDA打開此文件,加載符號(hào)文件時(shí)發(fā)現(xiàn)病毒作者編譯程序留下的符號(hào)文件位置,以此確定此勒索病毒為Ouroboros:

初步分析,該勒索病毒中有大量的反調(diào)試函數(shù),或者通過函數(shù)中包含return函數(shù)的形式增加病毒分析難度:

進(jìn)入到程序關(guān)鍵函數(shù),該勒索病毒會(huì)調(diào)用PowerShell程序,通過vssadmin delete shadows /all /y命令刪除卷影副本:

然后加載病毒中需要的信息,如郵箱信息,生成ID:

在地址40A000的位置,安全專家發(fā)現(xiàn)勒索病毒會(huì)進(jìn)行進(jìn)程遍歷,關(guān)閉與數(shù)據(jù)庫(kù)相關(guān)的進(jìn)程:

該病毒使用了SFML(Simple and Fast Multimedia Library)網(wǎng)站的一個(gè)資源:http[:]//www[.]sfml-dev[.]org/ip-provider.php訪問此網(wǎng)址后,可以獲取到訪問者的公網(wǎng)IP地址(圖中紅框位置為get請(qǐng)求包內(nèi)容):

然而在此勒索病毒中,此網(wǎng)站成了用來(lái)獲取受害者IP的工具(為了正常分析,我在本地搭建了一個(gè)web,通過hosts將sfml-dev[.]org指向本地,圖中地址為本地web環(huán)境偽造的響應(yīng)地址):

該病毒會(huì)嘗試建立與主機(jī)176.31.68.30的連接,等到程序收集了IP、ID、磁盤使用情況和key的信息后,一并發(fā)送給主機(jī)176.31.68.30,并且等待返回包。

該病毒不會(huì)在主線程中直接進(jìn)行加密操作,而是將加密邏輯的函數(shù)地址作為參數(shù)傳遞給新創(chuàng)建的線程,新線程中獲取到對(duì)應(yīng)參數(shù),再進(jìn)行跳轉(zhuǎn)執(zhí)行。加密邏輯會(huì)遍歷磁盤上的文件夾,檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合條件,避免對(duì)這些文件或者目錄下的文件進(jìn)行加密操作

否則其會(huì)讀取文件內(nèi)容,開始在內(nèi)存中對(duì)文件內(nèi)容進(jìn)行加密:

文件內(nèi)容加密完成后,其會(huì)創(chuàng)建以下后綴的文件:[ID=十位隨機(jī)字符串][Mail=unlockme123@protonmail.com].Lazarus

然后,其將加密內(nèi)容寫入創(chuàng)建的帶后綴的文件中,隨后刪除未被加密的源文件:

完成勒索后,釋放勒索信息的文件Read-Me-Now.txt,文件內(nèi)容如下:

普通勒索病毒到這里可能就已經(jīng)完成了所有邏輯,但是安全專家做了靜態(tài)分析后發(fā)現(xiàn),此病毒還會(huì)觸發(fā)ftp連接的操作,從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,啟動(dòng)新的進(jìn)程來(lái)執(zhí)行此文件:

安全專家對(duì)下載的Uiapp.exe文件進(jìn)行了簡(jiǎn)單的分析,發(fā)現(xiàn)此程序沒有明顯的惡意行為,僅僅只是為了更加醒目的顯示勒索信息:

雙擊執(zhí)行后,桌面會(huì)彈出如下的勒索信息界面:

安全專家還在176.31.68.30的ftp中發(fā)現(xiàn)了另一個(gè)exe文件:crypt.exe(該文件被檢測(cè)為Ransom.Win32.OUROBOROS.AA),依據(jù)文件名安全專家懷疑該文件是此次勒索病毒最初的來(lái)源,所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對(duì)比,發(fā)現(xiàn)并不一致:

但是經(jīng)過進(jìn)一步的分析發(fā)現(xiàn),兩者代碼塊中的內(nèi)容幾乎一致,僅僅只是編譯時(shí)間上的不同,crypt.exe的文件編譯時(shí)間較新,據(jù)此安全專家懷疑Ouroboros勒索病毒正在持續(xù)更新中,未來(lái)亞信安全會(huì)密切關(guān)注。

亞信安全教你如何防范

· 不要點(diǎn)擊來(lái)源不明的郵件以及附件;

· 不要點(diǎn)擊來(lái)源不明的郵件中包含的鏈接;

· 采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼;

· 打開系統(tǒng)自動(dòng)更新,并檢測(cè)更新進(jìn)行安裝;

· 盡量關(guān)閉不必要的文件共享;

· 請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則,即至少做三個(gè)副本,用兩種不同格式保存,并將副本放在異地存儲(chǔ)。

亞信安全產(chǎn)品解決方案

亞信安全病毒碼版本15.329.60,云病毒碼版本15.329.71,全球碼版本15.329.00已經(jīng)可以檢測(cè),請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

IOCs

MD5:

87283fcc4ac3fce09faccb75e945364c

e3caef2e2bdc4b08d625d4845f3205b6

分享到

xiesc

相關(guān)推薦