查看: 2111|回复: 5
收起左侧

[技术原创] “浑水摸鱼”伪装成系统激活工具的勒索病毒

[复制链接]
360主动防御
发表于 2018-8-21 18:05:15 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-8-21 18:05 编辑

前言
    Windows激活工具一直以来都是攻击者传播木马病毒的热门载体,近日360互联网安全中心就发现了一款新型勒索病毒,通过伪装成Windows激活工具进行传播

分析中我们还发现,这个勒索病毒还带有隐藏的配置功能,可以查看和修改加密使用的密钥和提示信息,还可以通过这个界面获取密钥解密。


传播
图1.捆绑有勒索病毒的激活工具

木马通过捆绑在windows激活工具中,通过国外的一些网盘进行传播。该勒索病毒在8月7号首次出现,之后一直有传播,虽然病毒本身已经被安全软件拦截查杀,但仍然不断有用户在使用。
图2.传播情况


样本分析
我们选取了其中一个病毒样本进行分析
md5:3ddc2d6***************c54baf97c
图3.样本图标

病毒启动之后,会带参数再次启动,分别实现不同功能,样本使用的启动参数如下:

  
参数
  
参数格式
功能
--Admin
--Admin
启动自己
--ForNetRes
--ForNetRes –key –id
获取网络资源
--AutoStart   
--AutoStart
启动自己
--Service
--Service 父进程ID –key –id
创建服务来监控键盘记录
表格1.勒索病毒参数

不同参数下实现不同功能:
图4.进程启动


隐藏的调试功能
分析过程中,我们发现该勒索病毒包含一个隐藏的窗体,在按下F8之后会显示这一窗体,通过这个配置页可以配置下列信息(显然这是病毒自带的一个调试功能):
l  加密文件的Key
l  勒索信息提示文件名
l  勒索提示信息
l  用户个人id
l  添加的文件后缀
图5.设置窗体1

勒索病毒传播者还可以自己设置需要跳过的文件目录。下面对话框中内容为默认设置。
图6 设置窗体2


下面是文件被加密之前的情况:
图7.修改设置后被加密的文件

同时,如果在通过cosonar.mcdir.ru/get.php获取参数失败时,该勒索病毒会调用默认的加密密钥以及默认的用户id传递给进程以及设置窗体。
图8.获取key和id

图9.默认key和用户id


文件加密
病毒作者在制作勒索病毒时,通常习惯使用微软提供的Crypto加密库,实现加密功能。但该勒索病毒使用了CryptoPP的开源库。在文件加密上,病毒也只处理了文件的前0x500000个字节(约5M)。过大的文件不会再加密后面的部分,之后调用AES算法进行加密。这类加单粗暴的做法,给文件解密留下了机会。
图10.AES算法加密文件


防御
通过伪装成正常软件进行传播,是病毒常用的一类传播手段,尤其是各类破解工具和外{过}{滤}挂软件。遇到这类勒索病毒可以通过以下几个方式进行防御
l 从未知网站下载的文件,一定要在开启杀毒软件的情况下运行。

l 可以使用360文档卫士对重要文件进行保护

l 定期备份重要文件



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
virusscan
发表于 2018-8-21 18:16:48 | 显示全部楼层
https://securelist.com/keypass-ransomware/87412/


3ddc2d6325bccabee96ec23c54baf97c
37c7887a962cca36f03f2bf1b61fa45b
057c2ae80f77d214fafd20e751f206fb
901d893f665c6f9741aa940e5f275952

hxxp://cosonar.mcdir.ru/upwindate.exe
hxxp://cosonar.mcdir.ru/FIashUpdate.exe
hxxp://kronus.pp.ua/upwin.exe
hxxp://checkandswitch.com/afile/5.exe
dg1vg4
发表于 2018-8-21 18:30:29 | 显示全部楼层
本帖最后由 dg1vg4 于 2018-8-21 18:44 编辑

瑞星这边看起来已经拉黑了。

用虚拟机进行测试的时候发现了一个很无语的情况,实机的瑞星之剑和虚拟机内的瑞星之剑都报了威胁,而实机的瑞星之剑直接结束了VirtualBox的主程序进程,共享文件夹里有的,只有两封勒索信,文件未被加密。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
利刀1937
发表于 2018-8-21 19:18:06 来自手机 | 显示全部楼层
这个狠,一般人看见杀软报毒kms软件都放过,,放松警惕
detecttt
发表于 2018-8-21 22:04:38 | 显示全部楼层
kmspico还是很有名的...
请问是kmspico本体带毒还是被第三方第四方植入病毒?
www-tekeze
发表于 2018-8-21 22:41:12 | 显示全部楼层
我手上有个36.0.0.8的KMSpico,火绒不报智量报,请路过的帮我去看看。。

https://bbs.kafan.cn/thread-2130541-1-1.html

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 22:13 , Processed in 0.133388 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表