0x0概述
近年来,老式勒索病毒依旧活跃,而新型勒索病毒花样百出,深信服安全云脑就捕获到一款具有“地方特色”的勒索病毒,其加密后缀为.beijing。
该病毒会使加密指定后缀文件,在系统盘加密用户目录下的文件,并生成勒索提示文档(!RECOVER.txt),要求用户通过邮箱联系黑客,使用比特币支付赎金来解密个人文件。
0x1详细分析
该样本使用UPX加壳,编译时间为2019年9月10日,使用C++编写;![图片[1]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029704.png)
大量函数调用使用动态计算的地址,以阻止对文件进行逆向分析;![图片[2]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029726.png)
使用LoadLibrary、GetProcAddress加载kernel32、advapi32等DLL及部分函数;![图片[3]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029764.png)
从自身读取数据:![图片[4]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029786.png)
![图片[5]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029801.png)
![图片[6]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029817.png)
配置文件使用了protobuf序列化;![图片[7]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029954.png)
包含大量加密文件后缀:![图片[8]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597029971.png)
生成用户Personal ID及Hash值,Personal ID随机生成并使用base 64加密;![图片[9]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597030003.png)
在文件目录下创建勒索提示文档!RECOVER.txt及__lock_XXX__文件;![图片[10]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597030024.png)
勒索提示文档:![图片[11]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597030042.png)
遍历目录下所有文件;![图片[12]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597031669.png)
打开待加密文件;![图片[13]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597031740.png)
重命名为*.beijing。![图片[14]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597031804.png){kind=small}
使用AES算法加密:![图片[15]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597031816.png)
文件末尾写入二次加密后的AES密钥;![图片[16]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597031836.png)
完成加密后自删除。![图片[17]-勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200810/1597031849.png)
0x2 IOC
MD5:9ed1bc466b3a1f1844f50791c16a77c1
0x3 加固建议
- 使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;
- 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;
- 定期使用安全软件进行全盘扫描和处置,定期检测系统漏洞并且进行补丁修复。
来源:freebuf.com 2020-08-10 14:06:38 by: 深信服千里目安全实验室
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册