news

/ 2018-12-18

近日,深信服安全团队捕获到一起通过捆绑软件运行勒索病毒的事件。勒索病毒与正常的应用软件捆绑在一起运行,捆绑的勒索病毒为stop勒索病毒的变种,加密后缀为.djvu。

病毒名称stop勒索病毒

病毒性质:勒索病毒

危害等级:高危

传播方式:恶意捆绑软件


病毒分析

01

勒索病毒母体携带者

cexplorer.exe是被捆绑了恶意软件的安装包,使用resource hacker查看其资源,可以发现其中夹藏着两个pe文件。



cexplorer.exe运行会将两个pe文件释放,如下图所示:

随后运行两个pe文件,如下图所示:


运行c:\users\xxxx\appdata\roaming\cexplorer.exe,为chameleon explorer的安装包。

安装成功后即能使用,该软件是个文件系统管理软件。

c:\users\xxxx\appdata\roaming\update.exe,为勒索病毒体,运行后完成勒索。如下图:


02

勒索病毒母体

1.勒索病毒母体是一个loader加载器,如下所示:

2.通过调试,在内存中解密出pe,如下所示:

3.加载到00400000内存的位置,然后执行相应的pe代码,如下图所示:


4.从内存中dump出完整的pe文件,是勒索病毒的主体模块,获取主机的地理位置:


通过访问相应的网站,如果返回包含ru、by、ua、az、am、tj、kz、kg、uz等国家代码,则进行自删除操作,如下所示:

5. 拷贝相应的程序到appdata\local目录下的随机目录,如下所示:

然后创建定时触发任务计划:

相应的触发时间,如下所示:

相应的计划任务,如下所示:

6.查询自启动注册表项,如下所示:

然后设置相应的自启动项注册表项,如下所示:

7.获取进程运行的参数,如下所示:

然后设置相应的启动参数,启动进程,如下所示:

相应的代码,如下所示:

执行之后,再次判断程序运行的参数,通过相应的判断调用参数启动程序,进行勒索加密的过程,如下所示:

8.如果进程是按上面相应的参数运行的,就从内存中解密出相应的下载服务器地址列表,如下所示:

相应的恶意下载链接如下所示:

http://bana911.ru/1.exe$run

http://bana911.ru/2.exe$run

http://bana911.ru/updatewin.exe$run

http://bana911.ru/3.exe$run

分隔$run符号,得到相应的恶意程序下载地址:

然后下载执行恶意程序:

9.相应的mac地址,如下所示:

生成md5值,如下所示:

然后追加pid=hash值方式上传mac信息,返回相应的数据,如下所示:

相应的远程服务器网站如下:http://bana911.ru/323232/get.php?pid=b0ed0332ed2154cb43506063a03aecd3


10.循环遍历磁盘目录,避开以下目录:

c:\\windows\\

c:\\program files (x86)\\mozilla firefox\\

c:\\program files (x86)\\internet explorer\\

c:\\program files (x86)\\google\\

c:\\program files\\mozilla firefox\\

c:\\program files\\internet explorer\\

c:\\program files\\google\\

d:\\windows\\

d:\\program files (x86)\\mozilla firefox\\

d:\\program files (x86)\\internet explorer\\

d:\\program files (x86)\\google\\

d:\\program files\\mozilla firefox\\

d:\\program files\\internet explorer\\

d:\\program files\\google\\

遍历相应的目录文件:

然后进行加密操作,如下所示:

整个加密过程,如下所示:

加密文件函数过程,如下所示:

11.加密后的文件,如下所示:

同时在相应的目录下生成_openme.txt的勒索信息文本文件,如下所示:


03

1.exe

该模块通过禁用windows defender和任务管理器实现自保护和隐藏。

禁用windows defender:

禁用任务管理器:


04

2.exe

2. exe是一个hosts文件修改器,是为了将windows的各种更新站点,各种安全网站的站点的域名重定向127.0.0.1(localhost)

被修改之前的hosts文件:

05

3.exe

3.exe其实是一个压缩包,包含被修改的teamviewer。修改后的teamviewer运行无界面,攻击者可通过它控制受害者主机。


06

2updatewin.exe

为了防止加密过程中受害者发现异常并重启系统,该模块伪装成windows update的界面,制造正在进行系统升级的假象,以迷惑受害者。


凯发登录的解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。


病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。http://edr.sangfor.com.cn/tool/sfabantibot.zip

2、深信服edr产品及下一代防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。


病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。


最后,建议企业级用户对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 下一代防火墙 edr,对内网进行感知、查杀和防护。


咨询与服务

您可以通过以下方式联系凯发注册网站,获取关于stop勒索病毒的免费咨询及支持服务:

1)拨打电话400-630-6430转6号线(已开通勒索软件专线)

2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询

3)pc端访问深信服区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询


  • / 2020-01-06
  • / 2020-01-06
  • / 2020-01-06

©2000-2020    深信服科技股份有限公司    凯发注册网站的版权所有   

"));
网站地图