【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
本帖最后由 Solarsec 于 2024-7-16 11:25 编辑# 1. 背景
在公众号文章中看到一篇名为《敲竹杠木马分析:虚假的植物大战僵尸杂交版》的文章,样本来源于某吧,对此我们对样本进行了提取分析。
文章链接:https://mp.weixin.qq.com/s/Up9u4DZtHnVNMiGBIHZzHw
# 2. 恶意文件基础信息
| 文件名 | 植物大战僵尸杂交版v2.1安装包.exe |
| -------- | ------------------------------------------------------------ |
| 大小 | 44.55MB |
| 操作系统 | windows |
| 架构 | 386 |
| 模式 | 32 位 |
| 类型 | EXEC |
| 字节序 | LE |
| MD5 | b78f0af88d811d3e4d92f7cd03754671 |
| SHA1 | 718f9b5fbcc0ead85157bd67d7643daf99dcedbc |
| SHA256 | 396c74b2aeca0dbea8ae5f4770bc66e99f8d22aa284b392d0b78dee1711014af |
# 3. 加密后文件分析
## 3.1 威胁分析
| **病毒家族** | MBRlock |
| ----------------------------- | -------------------------------------------------------- |
| **首次出现时间/捕获分析时间** | 2024/06/21 \|\| 2024/06/21 |
| **威胁类型** | 勒索软件,加密病毒 |
| **联系邮箱** | qq3113763905 |
| **感染症状** | 电脑黑屏,开机显示勒索qq。 |
| **感染方式** | 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接 |
# 4. 逆向分析
## 4.1 查壳
Upx 壳子。
### 4.1.1 文件操作
定位当前文件路径
从文件中读取数据
### 4.1.2 解密操作
文件里面有三个明文的密钥
进行三次rc4解密操作
获取到了一个字符串
Spark.LocalServer.exe
还有一些数据
### 4.1.3 目录操作
获取并拼接生成目录名C:\\Users\\123\\AppData\\Local\\Temp\\Temp
根据这个目录逐级生成目录
生成两个字符串 C:\\Users\\123\\AppData\\Local\\Temp\\Temp\\Spark.LocalServer.exe 和C:\\Users\\123\\AppData\\Local\\Temp\\Temp\\kook网截.vmp.exe
根据刚才解密出来的东西写入文件
调用shell打开这两文件
### 4.1.4 蓝屏
点击后蓝屏
显示勒索qq号
## 4.2 释放的exe分析
### 4.2.1 kook网截.vmp.exe分析
通过查壳分析发现是易语言写的程序
通过字符串交叉引用定位到了勒索qq号生成的位置以及明文密钥“我爱原神”
载入xdbg
发现该病毒调用了一个易语言的加密模块,这是经典的MBR勒索病毒之一,它通过覆盖硬盘数据的方式阻止系统正确启动,同时在网上也能找到对应的源码。
# 5. 病毒分析小结
根据对样本的深入逆向工程分析,得出该勒索病毒分析结果概览:
主要功能:
释放文件,调用shell执行文件对硬盘进行上锁
字符串混淆: 采用rc4混淆字符串,并用固定的key解密
系统操作: 在指定路径下释放文件
# 6. 修复方法
MBR病毒通过覆盖硬盘数据的方式阻止系统正确启动。由于我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE维护系统的移动介质。
## 6.1 系统引导
我们借助U盘/CD/DVD等移动存储介质通过PE系统检查硬盘数据情况。
服务器通过开机引导键盘位F12进入启动项选择界面选择U盘启动。
个人电脑可以通过F12重复上述操作;
或DELETE按键进入设备主机BIOS,按下F8(不同品牌设备存在差异,以华硕为例)选择要启动的硬盘类型,选择提前插入的U盘启动。
## 6.2 PE示例
不同PE工具界面略有差异。
进入PE维护系统,运行BOOTICE。
## 6.3 修复扇区
本次为虚拟机操作。
可以看到首扇区已经不是正常的引导,而是变成了勒索信息。
MBR勒索通常是把引导信息放在第三个扇区。
为了避免意外,我们将前几个扇区先备份一下。
这样的我们直接把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存。
无论是MBR格式的磁盘还是GPT格式的磁盘,都需要打开分区管理,检查分配盘符情况,正确分配到C盘,
若发现其他盘符有抢占的情况,无法分配到C盘或已存在盘符,则重启设备即可,重启后会恢复正常。
重启测试已经能够进入服务器,检查硬盘分区和数据各项已恢复正常。
本次修复已完成。 DawnXi 发表于 2024-7-16 14:00
算是bootkit么?
您好,Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒并执行操作的病毒。这个样本则是对引导盘进行加密来锁定操作系统。一个是修改系统启动过程,而另一个则是锁定系统。两者是不同类型的病毒。 学习了!!!! 值得学习 值得学习 意思这个毒只是破坏了mbr信息,电脑里文件没有被全部混淆加密? 算是bootkit么? 这是哪个小朋友出来整活了?以前特别火
https://www.52pojie.cn/thread-1001655-1-1.html shaokui123 发表于 2024-7-16 13:11
意思这个毒只是破坏了mbr信息,电脑里文件没有被全部混淆加密?
您好,经过我们的分析,这个病毒通过对首扇区进行加密,将首扇区由正常的引导变成了勒索信息,并没有对磁盘内的文件进行加密,因此只需要使用工具即可还原。 你好,再见 发表于 2024-7-16 14:14
这是哪个小朋友出来整活了?以前特别火
https://www.52pojie.cn/thread-1001655-1-1.html
不太清楚hhhh没有进一步溯源