查看: 2176|回复: 2
收起左侧

[分享] 新型勒索病毒RoBaj分析

[复制链接]
00006666
发表于 2022-8-24 08:26:52 | 显示全部楼层 |阅读模式
本帖最后由 00006666 于 2022-8-24 09:31 编辑

报告转载自360高级威胁研究分析中心分析报告

报告编号:B6-2022-082202
报告来源:360CERT
报告作者:360CERT
更新日期:2022-08-22


0x01   概述
近日360安全大脑监测到一款新型勒索病毒RoBaj。该病毒使用C#编写,通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。但较为不同的是,该病毒不仅提供了中文勒索信息,其自身还被蠕虫感染,具有蠕虫功能。这也让是受害者面临的威胁与损失加倍扩大。360高级威胁研究分析中心目前已完成对该病毒的破解。

0x02   攻击过程
该病毒使用典型的勒索攻击方式,攻击者在拿下目标后会首先投放横移工具,如Netpass64.exe、windows密码破解器等,并创建后门账户以备后用:


之后开始进一步横向渗透,扩大攻击范围。当拿到核心设备或已掌握大量设备后,攻击者最终会投递勒索病毒RoBaj-S.exe实施破坏工作。

0x03   文件释放
当病毒RoBaj-S.exe被触发执行后,首先会释放使用的资源文件:


其中,“Description Unlock Files.exe”为锁屏与勒索提示程序。而“Description Unlock Files.txt”则是勒索提示文档,与之对应的“说明 解锁文件(英文).txt”虽然标题中有“英文”,但其实是中文版的勒索信息文档。
通过对比中英文两个版本的勒索信息会发现,中文版的勒索信息显得颇为“生硬”,不自然,更像是直接从英文版勒索信息“机翻”而来。


0x04   代码分析
释放必要的文件后,程序会启动之前释放在Public Docker目录下的system32.exe加密程序。system32.exe启动后会等待接收启动参数,只有
输入正确参数后,后才会继续执行功能。该设定通常是为了绕过一些分析沙箱的自动检测。


之后,病毒会执行Files目录下的off-task.exe程序。该程序会临时创建一个bat批处理脚本并执行。被执行的批处理脚本的主要功能是通过修改注册表来禁用taskmgr、perfmon调试器选项、UAC以及系统自带杀毒软件等一系列系统的安全管理及防护功能。此外,批处理脚本还会将自 身添加为开机启动项,以此来保证下次开机能继续运行。
完成上述操作后病毒会继续遍历进程,尝试杀掉除勒索信息、系统桌面及命令行宿主进程外的一切进程,这样做的主要目的是尽最大可能排除其他进程干扰,使自身可以尽可能多的加密文件。


执行加密
此时,病毒开始执行最关键的加密环节。该勒索病毒使用的文件加密密钥是通过随机数方式产生。但病毒会把这个生成的密钥与磁盘当前的使用情况等信息一同写入文件“ent.txt”中,然后使用AES加密生成的密钥(该加密过程使用内置固定密钥),再经Base64编码后写入到“ent.ent”文件中,这个文件后续未被清除,这也给了我们对该病毒进行破解解密的机会。



接下来,程序开始遍历磁盘上的目录与文件进行加密,但会排除一些特殊目录与文件扩展名。
其中,被排除掉的目录主要是重要的系统及程序目录:
- C:\Program Files
- C:\Program Files (x86)
- C:\Windows
- C:\ProgramData
- C:\Users\All Users
而被排除的文件扩展名则是典型的可执行程序扩展名,显然病毒并不希望破坏系统内程序的执行,以免过早的引起受害者的警觉:
- exe
- dll
接着,病毒会根据文件大小的不同选择不同模式的AES算法对文件进行加密:对于小于10000KB的文件病毒会选用CBC加密模式;而大于10000KB的文件则采用CFB加密模式


加密完成后,文件名添加扩展名“.Robaj”。此外,病毒还修改了桌面壁纸和Robaj的文件图标关联来更醒目的提示受害者其设备已遭到攻击:


中勒索送蠕虫,“买一赠一”
值得注意的是,我们还发现该勒索病毒开发者的环境似乎被Neshta蠕虫感染。病毒释放的所有可执行程序均感染有Neshta蠕虫。所以也提醒中招用户,一旦发现被RoBaj攻击后,除了需对勒索病毒展开排查和清理外,还需检查可执行文件是否同时被Neshta蠕虫所感染。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
CreatorHusky + 3 版区有你更精彩: )

查看全部评分

红豆有绿豆
头像被屏蔽
发表于 2022-8-28 22:17:15 | 显示全部楼层
有趣,买一送一
RoBaj这个名字起的好
你开心就好
发表于 2022-8-29 18:42:11 来自手机 | 显示全部楼层
应该大部分安全软件能拦截 有蠕虫特征的话
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:50 , Processed in 0.136288 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表