本帖最后由 360主动防御 于 2018-8-21 18:05 编辑
前言 Windows激活工具一直以来都是攻击者传播木马病毒的热门载体,近日360互联网安全中心就发现了一款新型勒索病毒,通过伪装成Windows激活工具进行传播。
分析中我们还发现,这个勒索病毒还带有隐藏的配置功能,可以查看和修改加密使用的密钥和提示信息,还可以通过这个界面获取密钥解密。
传播 图1.捆绑有勒索病毒的激活工具
木马通过捆绑在windows激活工具中,通过国外的一些网盘进行传播。该勒索病毒在8月7号首次出现,之后一直有传播,虽然病毒本身已经被安全软件拦截查杀,但仍然不断有用户在使用。 图2.传播情况
样本分析 我们选取了其中一个病毒样本进行分析 md5:3ddc2d6***************c54baf97c 图3.样本图标
病毒启动之后,会带参数再次启动,分别实现不同功能,样本使用的启动参数如下:
表格1.勒索病毒参数
不同参数下实现不同功能: 图4.进程启动
隐藏的调试功能 分析过程中,我们发现该勒索病毒包含一个隐藏的窗体,在按下F8之后会显示这一窗体,通过这个配置页可以配置下列信息(显然这是病毒自带的一个调试功能): l 加密文件的Key l 勒索信息提示文件名 l 勒索提示信息 l 用户个人id l 添加的文件后缀 图5.设置窗体1
勒索病毒传播者还可以自己设置需要跳过的文件目录。下面对话框中内容为默认设置。 图6 设置窗体2
下面是文件被加密之前的情况: 同时,如果在通过cosonar.mcdir.ru/get.php获取参数失败时,该勒索病毒会调用默认的加密密钥以及默认的用户id传递给进程以及设置窗体。 图8.获取key和id
图9.默认key和用户id
文件加密 病毒作者在制作勒索病毒时,通常习惯使用微软提供的Crypto加密库,实现加密功能。但该勒索病毒使用了CryptoPP的开源库。在文件加密上,病毒也只处理了文件的前0x500000个字节(约5M)。过大的文件不会再加密后面的部分,之后调用AES算法进行加密。这类加单粗暴的做法,给文件解密留下了机会。 图10.AES算法加密文件
防御 通过伪装成正常软件进行传播,是病毒常用的一类传播手段,尤其是各类破解工具和外{过}{滤}挂软件。遇到这类勒索病毒可以通过以下几个方式进行防御 l 从未知网站下载的文件,一定要在开启杀毒软件的情况下运行。
l 可以使用360文档卫士对重要文件进行保护
l 定期备份重要文件
| 
发表于 2018-8-21 18:05:15
