吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2910|回复: 37
收起左侧

[PC样本分析] 【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法

[复制链接]
Solarsec 发表于 2024-7-16 11:19
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Solarsec 于 2024-7-16 11:25 编辑

1. 背景

在公众号文章中看到一篇名为《敲竹杠木马分析:虚假的植物大战僵尸杂交版》的文章,样本来源于某吧,对此我们对样本进行了提取分析。

文章链接:https://mp.weixin.qq.com/s/Up9u4DZtHnVNMiGBIHZzHw

2. 恶意文件基础信息

文件名 植物大战僵尸杂交版v2.1安装包.exe
大小 44.55MB
操作系统 windows
架构 386
模式 32 位
类型 EXEC
字节序 LE
MD5 b78f0af88d811d3e4d92f7cd03754671
SHA1 718f9b5fbcc0ead85157bd67d7643daf99dcedbc
SHA256 396c74b2aeca0dbea8ae5f4770bc66e99f8d22aa284b392d0b78dee1711014af

3. 加密后文件分析

3.1 威胁分析

病毒家族 MBRlock
首次出现时间/捕获分析时间 2024/06/21 || 2024/06/21
威胁类型 勒索软件,加密病毒
联系邮箱 qq3113763905
感染症状 电脑黑屏,开机显示勒索qq。
感染方式 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接

4. 逆向分析

4.1 查壳

4.1(1).PNG

Upx 壳子。

4.1(2).PNG

4.1.1 文件操作

定位当前文件路径

4.1.1(1).png

从文件中读取数据
4.1.1(2).png

4.1.2 解密操作

文件里面有三个明文的密钥

4.1.2(1).png

进行三次rc4解密操作
4.1.2(2).png

获取到了一个字符串

Spark.LocalServer.exe

还有一些数据

4.1.3 目录操作

获取并拼接生成目录名C:\Users\123\AppData\Local\Temp\Temp

4.1.3(1).png
根据这个目录逐级生成目录

4.1.3(2).png

生成两个字符串 C:\Users\123\AppData\Local\Temp\Temp\Spark.LocalServer.exe 和C:\Users\123\AppData\Local\Temp\Temp\kook网截.vmp.exe
4.1.3(3).png

根据刚才解密出来的东西写入文件

4.1.3(4).png

调用shell打开这两文件

4.1.3(5).png

4.1.4 蓝屏

点击后蓝屏

4.1.4(1).png
显示勒索qq号

4.1.4(2).png

4.2 释放的exe分析

4.2.1 kook网截.vmp.exe分析

通过查壳分析发现是易语言写的程序
4.2.1(1).png

通过字符串交叉引用定位到了勒索qq号生成的位置以及明文密钥“我爱原神”

4.2.1(2).png

载入xdbg

4.2.1(3).png

发现该病毒调用了一个易语言的加密模块,这是经典的MBR勒索病毒之一,它通过覆盖硬盘数据的方式阻止系统正确启动,同时在网上也能找到对应的源码。

4.2.1(4).png
4.2.1(5).png

5. 病毒分析小结

根据对样本的深入逆向工程分析,得出该勒索病毒分析结果概览:

主要功能:

释放文件,调用shell执行文件对硬盘进行上锁

字符串混淆: 采用rc4混淆字符串,并用固定的key解密

系统操作: 在指定路径下释放文件

6. 修复方法

MBR病毒通过覆盖硬盘数据的方式阻止系统正确启动。由于我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE维护系统的移动介质。

6.1 系统引导

我们借助U盘/CD/DVD等移动存储介质通过PE系统检查硬盘数据情况。

服务器通过开机引导键盘位F12进入启动项选择界面选择U盘启动。
6.1.png

个人电脑可以通过F12重复上述操作;

或DELETE按键进入设备主机BIOS,按下F8(不同品牌设备存在差异,以华硕为例)选择要启动的硬盘类型,选择提前插入的U盘启动。

6.2 PE示例

6.2(1).png

不同PE工具界面略有差异。

6.2(2).png

进入PE维护系统,运行BOOTICE。
6.2(3).png

6.3 修复扇区

本次为虚拟机操作。

6.3(1).png

可以看到首扇区已经不是正常的引导,而是变成了勒索信息。
6.3(2).png

MBR勒索通常是把引导信息放在第三个扇区。

6.3(3).png
为了避免意外,我们将前几个扇区先备份一下。

6.3(4).png

这样的我们直接把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存。
6.3(5).png

无论是MBR格式的磁盘还是GPT格式的磁盘,都需要打开分区管理,检查分配盘符情况,正确分配到C盘,
6.3(6).png

若发现其他盘符有抢占的情况,无法分配到C盘或已存在盘符,则重启设备即可,重启后会恢复正常。

6.3(7).png

重启测试已经能够进入服务器,检查硬盘分区和数据各项已恢复正常。

6.3(8).png
本次修复已完成。

免费评分

参与人数 8威望 +1 吾爱币 +28 热心值 +7 收起 理由
iiiiiiii8 + 1 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yunchu + 1 我很赞同!
52YR + 1 用心讨论,共获提升!
allspark + 1 + 1 用心讨论,共获提升!
Yongtime1202 + 1 + 1 我很赞同!
kissboss + 3 + 1 用心讨论,共获提升!
l146 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Solarsec 发表于 2024-7-16 14:37

您好,Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒并执行操作的病毒。这个样本则是对引导盘进行加密来锁定操作系统。一个是修改系统启动过程,而另一个则是锁定系统。两者是不同类型的病毒。
n1kOvO 发表于 2024-7-16 11:50
sxp3468 发表于 2024-7-16 11:52
Qiaoyuexuan 发表于 2024-7-16 12:40
值得学习
shaokui123 发表于 2024-7-16 13:11
意思这个毒只是破坏了mbr信息,电脑里文件没有被全部混淆加密?
DawnXi 发表于 2024-7-16 14:00
算是bootkit么?
你好,再见 发表于 2024-7-16 14:14
这是哪个小朋友出来整活了?以前特别火
https://www.52pojie.cn/thread-1001655-1-1.html
 楼主| Solarsec 发表于 2024-7-16 14:15
shaokui123 发表于 2024-7-16 13:11
意思这个毒只是破坏了mbr信息,电脑里文件没有被全部混淆加密?

您好,经过我们的分析,这个病毒通过对首扇区进行加密,将首扇区由正常的引导变成了勒索信息,并没有对磁盘内的文件进行加密,因此只需要使用工具即可还原。
 楼主| Solarsec 发表于 2024-7-16 14:21
你好,再见 发表于 2024-7-16 14:14
这是哪个小朋友出来整活了?以前特别火
https://www.52pojie.cn/thread-1001655-1-1.html

不太清楚hhhh没有进一步溯源
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表