不修改加密文件名的勒索软件TeslaCrypt 4.0

安天安全研究与应急处理中心(Antiy CERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:加密文件后不修改原文件名、对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。
勒索软件TeslaCrypt在2015年2月份左右被发现【1】,它是在Cryptolocker的基础上修改而成。在其第一个版本中,TeslaCrypt声称使用非对称RSA-2048加密算法,但实际上使用的是对称的AES加密算法,由此Cisco(思科)发布了一款解密工具,在找到可恢复主密钥的key.dat文件时,可以解密被TeslaCrypt勒索加密的文件【2】;但在之后的多个版本中,勒索软件TeslaCrypt开始使用非对称的RSA加密算法,被加密的文件在无密钥的情况下已经无法成功解密了,安天CERT发现,TeslaCrypt 4.0在2016年3月份开始出现,使用的是RSA-4096加密算法。
勒索软件系列事件的出现,具有多方面原因,其中重要的一点是匿名网络和匿名支付的高度成熟。2016年春节过后,勒索软件Locky开始爆发,全球多家安全厂商发布了相应的报告,安天CERT也在2016年2月19日发布了《首例具有中文提示的比特币勒索软件“LOCKY”》【3】;2016年3月底,G-Data和趋势先后发布了修改MBR、加密整个硬盘的勒索软件Petya的报告;2016年4月初,安天CERT开始跟踪勒索软件TeslaCrypt 4.0。
0x01 传播方式
勒索软件TeslaCrypt 4.0利用网站挂马和电子邮件进行传播,在国内网站挂马发现的较少,通常利用浏览器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞进行传播;而利用电子邮件传播的数量较多,安天CERT发现的多起勒索软件事件也都是通过电子邮件传播的。

图 1 利用电子邮件传播勒索软件
在分析TeslaCrypt的下载地址时,安天CERT研究人员发现,相同域名下存放多个TeslaCrypt 4.0程序,且文件HASH各不相同。例如:域名http://***|||pasqq.com,可以下载TeslaCrypt 4.0的地址如下:
http://***pasqq.com/23.exe
http://***pasqq.com/24.exe
http://***pasqq.com/25.exe
http://***pasqq.com/42.exe
http://***pasqq.com/45.exe
http://***pasqq.com/48.exe
http://***pasqq.com/69.exe
http://***pasqq.com/70.exe
http://***pasqq.com/80.exe
http://***pasqq.com/85.exe
http://***pasqq.com/87.exe
http://***pasqq.com/93.exe
另外,其他域名中勒索软件的下载地址同上,如:23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14时,安天CERT共发现具有下载勒索软件TeslaCrypt 4.0的域名共50多个,部分域名已经失效。
部分下载勒索软件TeslaCrypt 4.0的域名:
***pasqq.com
***uereqq.com
***ghsqq.com
***rulescc.asia
***rulesqq.com
0x02 样本分析
安天CERT共发现近300个勒索软件TeslaCrypt 4.0。研究人员在其中选择了时间较新的样本进行分析。
2.1 样本标签
病毒名称
Trojan[Ransom]/Win32.Teslacrypt
原始文件名
80.exe
MD5
30CB7DB1371C01F930309CDB30FF429B
处理器架构
X86-32
文件大小
396 KB (405,504 字节)
文件格式
BinExecute/Microsoft.EXE[:X86]
时间戳
5704939E -->2016-04-06 12:42:06
数字签名
NO
加壳类型
未知
编译语言
Microsoft Visual C++
VT首次上传时间
2016-04-06 04:07:00 UTC
VT检测结果
28/57
2.2 使用RSA4096加密算法加密文件,但不修改原文件名
该样本运行后复制自身至%Application Data%文件夹中,重命名为wlrmdr.exe,设置自身属性为隐藏,然后使用CreateProcessW为其创建进程。

图 2 创建wlrmdr.exe进程
样本在新创建的进程中使用CreateThread开启线程,对全盘文件进行加密。首先样本使用GetLogicalDriveStringsW获取所有逻辑驱动器,成功后使用FindFirstFileW与FindNextFileW遍历全盘所有文件,进行加密。

图 3 遍历磁盘文件
加密函数地址为0x0040190A。

图 4 调用加密函数对遍历到的文件加密
利用RSA4096算法加密后,调用WriteFile将加密后的数据由内存写入文件,没有对文件名做修改。

图 5 将加密后的数据写入文件
加密前后的文件对比:

图 6加密前后的文件对比
2.3 对抗安全工具
样本会查找系统中是否存在包含字符串的进程并将其隐藏,使用用户无法“看到”这些工具:
“taskmg”
任务管理器
“regedi”
注册表管理器
“procex”
进程分析工具
“msconfi”
系统配置
“cmd”
命令提示符

图 7 隐藏cmd界面
2.4 具有PDB信息
样本具有PDB信息,其文件名为“wet problem i yuoblem i_x.pdb”

图 8 样本的调试信息中包含PDB信息
2.5利用CMD自启动
样本调用RegCreateKeyExW,将使用CMD启动自身的代码写入至注册表中,使其随系统开机启动。

图 9 利用CMD达到随系统开机启动的目的
2.6使用非常规的函数调用和跳转
样本使用了很多非常规的函数调用和跳转,用来阻止安全人员分析该病毒。

图 10 非常规的函数调用

图 11 非常规的跳转
2.7 TeslaCrypt 4.0加密的文件格式

图 12 TeslaCrypt 4.0加密的文件格式
0x03 总结
勒索软件对企业和个人用户都具有极大的威胁,被加密后的文件无法恢复,将给用户造成巨大的损失。解决勒索软件的威胁问题除安装安全产品、防护产品、备份产品外,更需要用户在接收邮件时谨慎小心,慎重打开邮件附件或点击邮件内的链接,尤其是陌生人邮件。
安天智甲终端防护系统(IEP)可以在用户误点击运行勒索软件时阻止其对用户文件进行加密。
0x04 附录一:参考资料
【1】安天发布:揭开勒索软件的真面目
【2】思科发布:针对勒索软件TeslaCrypt的解密工具:

【3】首例具有中文提示的比特币勒索软件“LOCKY”
0x05 附录二:安天CERT发现的50多个传播勒索软件的域名
marvellrulescc.asia
witchbehereqq.com
ohelloguymyff.com
arendroukysdqq.com
isityouereqq.com
joecockerhereff.com
blablaworldqq.com
jeansowghsqq.com
howisittomorrowff.com
fromjamaicaqq.com
marvellrulesqq.com
giveitalltheresqq.com
goonwithmazerqq.com
greetingseuropasqq.com
giveitallhereqq.com
gutentagmeinliebeqq.com
grandmahereqq.com
ohelloguyzzqq.com
hellomississmithqq.com
mafiawantsyouqq.com
jeansowghtqq.com
hellomisterbiznesqq.com
spannflow.com
grandaareyoucc.asia
hellomydearqq.com
ohelloguyqq.com
imgointoeatnowcc.com
helloyoungmanqq.com
bonjovijonqq.com
washitallawayff.com
howareyouqq.com
joecockerhereqq.com
greetingsjamajcaff.com
invoiceholderqq.com
itsyourtimeqq.su
hpalsowantsff.com
itisverygoodqq.com
blizzbauta.com
ohellowruff.com
lenovomaybenotqq.com
yesitisqqq.com
ohelloweuqq.com
lenovowantsyouqq.com
thisisitsqq.com
ujajajgogoff.com
mafianeedsyouqq.com
soclosebutyetqq.com
ohiyoungbuyff.com
mommycantakeff.com
isthereanybodyqq.com
helloyungmenqq.com
thisisyourchangeqq.com
ohelloguyff.com
0x06 附录三:安天CERT发现的C&C地址
addagapublicschool.com/binfile.php
kel52.com/wp-content/plugins/ajax-admin/binstr.php
closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
thejonesact.com/wp-content/themes/sketch/binfile.php
theoneflooring.com/wp-content/themes/sketch/binfile.php
mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
sappmtraining.com/wp-includes/theme-compat/wcspng.php
controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
vtechshop.net/wcspng.php
sappmtraining.com/wp-includes/theme-compat/wcspng.php
shirongfeng.cn/images/lurd/wcspng.php
198.1.95.93/~deveconomytravel/cache/binstr.php
helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
hotcasinogames.org/binfile.php
goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
opravnatramvaji.cz/modules/mod_search/wstr.php
studiosundaytv.com/wp-content/themes/sketch/binfile.php
theoneflooring.com/wp-content/themes/sketch/binfile.php
hotcasinogames.org/binfile.php
pcgfund.com/binfile.php
kknk-shop.dev.onnetdigital.com/stringfile.php
forms.net.in/cgi-bin/stringfile.php
casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php

csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
naturstein-schubert.de/modules/mod_cmscore/stringfile.php
vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
starsoftheworld.org/cgi-bin/binarystings.php
holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
drcordoba.com/components/bstr.php

不修改加密文件名的勒索软件TeslaCrypt 4.0的更多相关文章

  1. 发送垃圾邮件的僵尸网络——药物(多)、赌博、股票债券等广告+钓鱼邮件、恶意下载链接、勒索软件+推广加密货币、垃圾股票、色情网站(带宏的office文件、pdf等附件)

    卡巴斯基实验室<2017年Q2垃圾邮件与网络钓鱼分析报告> 米雪儿 2017-09-07 from:http://www.freebuf.com/articles/network/1465 ...

  2. 勒索软件Locky、Tesalcrypt等使用了新的工具躲避检测

    勒索软件Locky.Tesalcrypt等使用了新的工具躲避检测 今天我们发现Locky勒索软件家族使用一种新的工具来躲避检测,并且可能已经感染了很多节点. 自从我们通过AutoFocus智能威胁分析 ...

  3. ocky勒索软件恶意样本分析2

    locky勒索软件恶意样本分析2 阿尔法实验室陈峰峰.胡进 前言 随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使 ...

  4. 新型勒索软件Magniber正瞄准韩国、亚太地区开展攻击

    近期,有国外研究人员发现了一种新型的勒索软件,并将其命名为Magniber,值得注意的是,这款勒索软只针对韩国及亚太地区的用户开展攻击.该勒索软件是基于Magnitude exploit kit(简称 ...

  5. Android勒索软件研究报告

    Android勒索软件研究报告 Author:360移动安全团队 0x00 摘要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件.其表现为手机触摸 ...

  6. 针对Jigsaw勒索软件的解锁工具

    针对Jigsaw勒索软件的解锁工具 据了解, 用户的计算机系统一旦感染了勒索软件Jigsaw,如果用户没有在一个小时之内支付赎金(0.4个比特币,价值约为150美金),那么恶意软件将会把系统中的上千份 ...

  7. ocky勒索软件恶意样本分析1

    locky勒索软件恶意样本分析1 1 locky勒索软件构成概述 前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析.样本主要包含三个程序: A xx.js文件:Jscript脚 ...

  8. 螣龙安科:威胁研究——与MAZE勒索软件事件相关的策略,技术和程序

    至少从2019年5月开始,恶意行为者就一直在积极部署MAZE勒索软件.勒索软件最初是通过垃圾邮件和漏洞利用工具包分发的,后来又转移到妥协后进行部署.根据我们在地下论坛中对涉嫌用户的观察以及整个Mand ...

  9. 1千万英国用户被Cryptolocker勒索软件瞄准

    英国国家打击犯罪调查局(NCA)发布国家紧急警报,警报一场大规模的垃圾邮件,这些邮件中包含了一款名为CryptoLocker的勒索程序,把目标瞄准了1千万英国的email用户,该程序会加密用户的文档, ...

随机推荐

  1. POJ3259(Wormholes) 判断负环

    题意: 农夫john发现了一些虫洞,虫洞是一种在你到达虫洞之前把你送回目的地的一种方式,FJ的每个农场,由n块土地(编号为1-n),M 条路,和W个 虫洞组成,FJ想从一块土地开始,经过若干条路和虫洞 ...

  2. 09 Zabbix Item类型之Zabbix SNMP类型

    点击返回:自学Zabbix之路 点击返回:自学Zabbix4.0之路 点击返回:自学zabbix集锦 Zabbix Item类型之Zabbix SNMP类型 SNMP是监控服务器以外设备的非常好的方式 ...

  3. android 开启闪光灯小应用

    该程序需要在AndroidManifest.xml添加权限,属性 android:screenOrientation="portrait" android.permission.C ...

  4. [luogu5002]专心OI - 找祖先

    [传送门] 我们还是先将一下算法的步骤,待会再解释起来方便一点. 算法步骤 首先我们算出每个子树的\(size\). 我们就设当前访问的节点 然后我们就得到了当前这个节点的答案是这个树整个的\(siz ...

  5. [luogu#2019/03/10模拟赛][LnOI2019]长脖子鹿省选模拟赛赛后总结

    t1-快速多项式变换(FPT) 题解 看到这个\(f(x)=a_0+a_1x+a_2x^2+a_3x^3+ \cdots + a_nx^n\)式子,我们会想到我们学习进制转换中学到的,那么我们就只需要 ...

  6. java -server 和 -client 的不同,及 java -server 时抛错原因

    在dos窗口运行:java -server Error: missing `server' JVM at `C:\Program Files\Java\jre7\bin\server\jvm.dll' ...

  7. JAVA注释的另一种神奇用法

    每个JAVA程序员在写程序的时候一定都会用到注释,本篇博客不是讲怎么定义注释,而是说明注释神奇的一种写法. /** * 这是一个测试类 */ public class Test { /** * 程序的 ...

  8. Java中FTPClient上传中文目录、中文文件名乱码问题解决方法【好用】

    转: Java中FTPClient上传中文目录.中文文件名乱码问题解决方法 问题描述: 使用org.apache.commons.net.ftp.FTPClient创建中文目录.上传中文文件名时,目录 ...

  9. springMVC 接收json字符串参数

    /** 前台js拼接了一个数组 myparam = [a,b,c]; 在ajax中直接 {"myparam":JSON.stringify(myparam)} 传入springMV ...

  10. Zookeeper客户端Curator---Getting Started

    先说个小插曲,前几天有个网站转载我的文章没有署名作者,我有点不开心就给他们留言了,然后今天一看他们把文章删了.其实我的意思并不是你允许转载,我想表达的是我的付出需要被尊重.也不知道是谁的错~ ==== ...