吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 18888|回复: 103
收起左侧

[PC样本分析] 勒索病毒不要赎金或跟风“WannaRen" 火绒已解密并阻断传播渠道

  [复制链接]
火绒安全实验室 发表于 2020-4-24 10:29
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【快讯】
近日,有多位网友向火绒反馈遭遇勒索病毒攻击,火绒工程师远程查看后,发现攻击者通过一款后门病毒向用户植入了该勒索病毒:工程师一边对后门病毒进行溯源分析,同时升级产品增加防御规则,阻断病毒传播渠道(详见报告《黑客通过游戏外挂植入后门病毒 弹窗叫嚣“杀毒无用”》);一边分析并顺利破解该勒索病毒,推出相应的解密工具(https://down5.huorong.cn/ransom/HDLockerDecryptor.exe)。火绒用户无须担心,火绒软件(个人版、企业版)现已可以拦截、查杀上述后门与勒索病毒。

image005.png

通过查看和分析样本发现,该勒索病毒为易语言编写,加密文件后追加字符“_HD",与以往常见的勒索病毒不同的是,该勒索病毒并没有留下任何联系方式与勒索赎金的信息,但包含了一段可逆的解密算法和“我是勒索,求逆算法”的挑衅信息,并留下了部分解密线索。最终,火绒工程师根据其中的解密算法和线索成功破解该勒索病毒。

解密工具.png
解密工具图

另外,用户也表示,病毒作者甚至曾使用QQ小号(118****046)联系过他,并引导其将勒索病毒发到火绒论坛进行求助。根据中文聊天记录、弹窗消息与易语言编写病毒等特征来看,基本肯定为国人所为,且其目的并非为了获取解密赎金,只是为了向用户和安全厂商炫耀技术并进行挑衅。此外,不排除该病毒作者有跟风4月初爆发的,同样是易语言编写的勒索病毒“WannaRen”的嫌疑。

image006.png

事实上,由于易语言上手较为容易,契合国人语言环境,在国内传播较为广泛,使用者偏多。同时这也导致一些利用易语言编写勒索病毒并攻击用户的案例开始逐渐增长,甚至出现本文所述的“只为炫技,不为钱财”的勒索案例。对此,火绒也会持续关注此类勒索病毒以及相关案例,并及时完善防御规则,保护用户安全,如果您遭遇上述勒索病毒攻击,可随时联系我们获取帮助。

最后,火绒工程师再次提醒广大网友,对于绝大多数勒索病毒而言,除非作者主动提供解密私钥(如“WannaRen”勒索病毒),否则依旧无法破解。为了避免被勒索病毒加密造成损失,大家应该做到对重要资料经常备份,保持良好的上网习惯,不随意安装使用非官方软件,不点击陌生的邮件及附件、链接,及时修复系统漏洞,并安装合格的安全软件。


附:【分析报告】

一、        详细分析
在上篇《黑客通过游戏外挂植入后门病毒 弹窗叫嚣“杀毒无用”》报告中,我们曾提到过黑客通过后门病毒投放勒索病毒,加密用户数据文件。甚至更奇葩的是,病毒作者还留下了“我是勒索,求逆算法”的字符串。而且在尝试解密的过程中,我们发现用于解密的8个字节随机数据中,病毒作者刻意只将其中的4个字节记录在私钥所在文件中,其余的4个字节需要以暴力破解的方式获得。相关数据,如下图所示:

image007.png
相关数据

该勒索病毒会被释放到后门病毒所在目录中名为TRAE.exe的文件,勒索病毒执行后会通过DES算法加密数据文件,并将随机生成的DES密钥使用ECC(椭圆曲线加密算法)加密存放在被加密文件中,被加密后的文件名会被追加“_HD”。被加密的数据文件目录,如下图所示:

image008.png
被加密文件目录情况

image009.png
勒索说明文件

与以往的勒索病毒不同的是,该勒索病毒加密用户文件后并没有留下用来支付赎金的支付地址。在用户未安装安全软件的情况下,病毒作者主动提出让用户找安全厂商进行解密。且在一段时间内,我们连续收到了多个与该勒索病毒相关的用户问题。 用户反馈情况相关截图,如下图所示:

image010.png
论坛用户反馈信息


用户反馈聊天记录

勒索病毒会随机生成ECC私钥和公钥,之后病毒代码会将ECC私钥和ECC私钥的CRC32进行拼接,再经过混序(混序依据为8字节随机数据的MD5值)和异或(异或密钥随机)加密后最终会被写入到“ECC加密.log”文件中。用户文件数据被DES算法加密,加密所使用的DES密钥随机且每个文件所对应DES密钥不同,DES密钥会被ECC公钥加密存放在被加密文件中。勒索加密流程,如下图所示:

image011.png
加密流程图

文件加密完成,病毒程序便会将标记头,ECC所加密的DES私钥信息,及被加密的文件信息拼接而成,形成加密文件,相关文件内容信息如下图所示:

image012.png
被加密的文件结构

用来混序的MD5是通过8字节的随机数据生成的,生成用来混序的MD5相关代码,如下图所示:

image013.png
生成用来混序的MD5

当获取所需的MD5值之后,病毒便会将先前所得的私钥以及拼接在私钥后面的私钥CRC32值进行混序处理。相关代码如下图所示:

image014.png
混序私钥相关代码

混序之后的私钥数据会与前文中生成混序MD5随机数据中的3个字节数据拼接,之后再使用其中的一个字节作为异或密钥,对私钥数据进行异或加密。最后再将异或密钥拼接在被加密数据后,写入到勒索说明文件中。相关代码,如下图所示:

image015.png
异或加密与数据拼接相关代码

当ECC私钥被加密落地之后,病毒便开始对文件进行加密。病毒程序首先会对文件信息进行判断,当文件后缀为“exe”、“dll”、“sys”、“_HD”格式时或者文件大小大于0x2DC6C0字节时,跳过此文件,不进行加密。否则,将文件内容先通过Zlib算法压缩,再进行DES加密,相关代码如下图所示:

image016.png
比较文件扩展名和文件大小

image017.png
压缩并加密文件

二、        附录
样本hash

image018.png

免费评分

参与人数 57吾爱币 +55 热心值 +54 收起 理由
wuliqiang + 1 用心讨论,共获提升!
善护念 + 1 + 1 谢谢@Thanks!
王者像少年 + 1 热心回复!
地球守护者 + 1 + 1 谢谢@Thanks!
兔子爱吃香蕉皮 + 1 + 1 加油呀
麻実薫 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
E166ER + 1 + 1 谢谢@Thanks!
xiao小.炜wei + 1 + 1 我很赞同!
真惜侠 + 1 谢谢@Thanks!
wodeweiyimpm + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
视觉设计研究所 + 1 + 1 热心回复!
冰棍好烫啊 + 1 + 1 我很赞同!
tianyi333 + 1 我很赞同!
jay20070223 + 1 + 1 先说说12号晚上 19点在干嘛。
zeuszz + 1 我很赞同!
xiaobaiyang + 1 我很赞同!
shark1001 + 1 + 1 我很赞同!
chenmintian + 1 + 1 谢谢@Thanks!
zwindy + 1 + 1 我很赞同!
wuhui2748 + 1 + 1 谢谢@Thanks!
aceryao + 1 + 1 感觉病毒作者在戏耍杀毒软件开发商
椎名牧 + 1 + 1 谢谢@Thanks!
世界是喧嚣的彩. + 1 + 1 热心回复!
梦古无疆 + 1 + 1 我很赞同!
千寻百步 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
雨落惊鸿, + 1 + 1 我很赞同!
感觉还在不在 + 1 + 1 用心讨论,共获提升!
bnzhscz + 1 + 1 谢谢@Thanks!
aixiaodemj + 1 + 1 火绒加油~! 相信火绒会做的更好
天蝎浪花 + 1 + 1 谢谢@Thanks!
犬吠九天 + 1 鼓励转贴优秀软件安全工具和文档!
yangsd973 + 1 + 1 热心回复!
Creeper666 + 1 + 1 火绒🐮🍺!、支持火绒!
天轩科技 + 2 + 1 火绒牛逼!!!!
Rodge100 + 1 + 1 热心回复!
anwen + 2 + 1 火绒666嗷!!!
zuiai125520 + 1 + 1 热心回复!
haili + 1 + 1 我很赞同!
内瑟斯 + 1 + 1 谢谢@Thanks!
kingwl + 1 + 1 这是不满足于论坛的某个板块了嘛哈哈哈哈
zhangbaida + 3 + 1 鼓励转贴优秀软件安全工具和文档!
奕余君 + 1 + 1 支持!!!
不知道改成啥 + 1 谢谢@Thanks!
zhushuaishuai + 1 + 1 用心讨论,共获提升!
着迷59 + 1 + 1 我很赞同!
Acosos + 1 + 1 日常支持火绒
iteamo + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
asq56747277 + 1 + 1 绝了,就和论坛的KeyGenMe一样2333
masterenlu + 1 + 1 我很赞同!
cornfieldchase + 1 + 1 谢谢@Thanks!
Das-Fernweh + 1 + 1 我很赞同!
xiaoxiaoliuxing + 1 + 1 谢谢@Thanks!
Terminator2050 + 1 + 1 用心讨论,共获提升!
索马里考拉 + 1 + 1 用心讨论,共获提升!
dy8587 + 1 + 1 我很赞同!
森林游狼 + 1 热心回复!
wjdxx1985 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ustbsgw 发表于 2020-4-24 11:58
顶一下火绒  它一直在保护我 无声无息 就像不存在一样
anwen 发表于 2020-4-24 17:33
我可以理解为,这是某作者借火绒来练手的吗???我觉得可能作者肯定也在论坛看...
余佳卓 发表于 2020-4-24 10:54
封羽 发表于 2020-4-24 10:34
顶一个,作为一个前端开发和一个个人用户,仰望大佬们的技术能力
FANT456 发表于 2020-4-24 10:36
帮顶,有头有尾,介绍的很详细
a312714497 发表于 2020-4-24 10:44
火绒永远都是最靠谱的。,。  顶一个。
森林游狼 发表于 2020-4-24 10:45
前排帮顶
小飞虫 发表于 2020-4-24 10:52
火前流名
houbangcai 发表于 2020-4-24 10:55
顶一下,感谢火绒
nang 发表于 2020-4-24 10:55
我也中这个, 在文件里还找到文档说要我的电脑进行挖矿,后来清除就没事了
mmcc1984 发表于 2020-4-24 10:56
一直在用火绒 虽然只是个人版
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表