吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2908|回复: 37
上一主题 下一主题
收起左侧

[PC样本分析] 【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法

[复制链接]
跳转到指定楼层
楼主
Solarsec 发表于 2024-7-16 11:19 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Solarsec 于 2024-7-16 11:25 编辑

1. 背景

在公众号文章中看到一篇名为《敲竹杠木马分析:虚假的植物大战僵尸杂交版》的文章,样本来源于某吧,对此我们对样本进行了提取分析。

文章链接:https://mp.weixin.qq.com/s/Up9u4DZtHnVNMiGBIHZzHw

2. 恶意文件基础信息

文件名 植物大战僵尸杂交版v2.1安装包.exe
大小 44.55MB
操作系统 windows
架构 386
模式 32 位
类型 EXEC
字节序 LE
MD5 b78f0af88d811d3e4d92f7cd03754671
SHA1 718f9b5fbcc0ead85157bd67d7643daf99dcedbc
SHA256 396c74b2aeca0dbea8ae5f4770bc66e99f8d22aa284b392d0b78dee1711014af

3. 加密后文件分析

3.1 威胁分析

病毒家族 MBRlock
首次出现时间/捕获分析时间 2024/06/21 || 2024/06/21
威胁类型 勒索软件,加密病毒
联系邮箱 qq3113763905
感染症状 电脑黑屏,开机显示勒索qq。
感染方式 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接

4. 逆向分析

4.1 查壳

Upx 壳子。

4.1.1 文件操作

定位当前文件路径

从文件中读取数据

4.1.2 解密操作

文件里面有三个明文的密钥

进行三次rc4解密操作

获取到了一个字符串

Spark.LocalServer.exe

还有一些数据

4.1.3 目录操作

获取并拼接生成目录名C:\Users\123\AppData\Local\Temp\Temp


根据这个目录逐级生成目录

生成两个字符串 C:\Users\123\AppData\Local\Temp\Temp\Spark.LocalServer.exe 和C:\Users\123\AppData\Local\Temp\Temp\kook网截.vmp.exe

根据刚才解密出来的东西写入文件

调用shell打开这两文件

4.1.4 蓝屏

点击后蓝屏


显示勒索qq号

4.2 释放的exe分析

4.2.1 kook网截.vmp.exe分析

通过查壳分析发现是易语言写的程序

通过字符串交叉引用定位到了勒索qq号生成的位置以及明文密钥“我爱原神”

载入xdbg

发现该病毒调用了一个易语言的加密模块,这是经典的MBR勒索病毒之一,它通过覆盖硬盘数据的方式阻止系统正确启动,同时在网上也能找到对应的源码。


5. 病毒分析小结

根据对样本的深入逆向工程分析,得出该勒索病毒分析结果概览:

主要功能:

释放文件,调用shell执行文件对硬盘进行上锁

字符串混淆: 采用rc4混淆字符串,并用固定的key解密

系统操作: 在指定路径下释放文件

6. 修复方法

MBR病毒通过覆盖硬盘数据的方式阻止系统正确启动。由于我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE维护系统的移动介质。

6.1 系统引导

我们借助U盘/CD/DVD等移动存储介质通过PE系统检查硬盘数据情况。

服务器通过开机引导键盘位F12进入启动项选择界面选择U盘启动。

个人电脑可以通过F12重复上述操作;

或DELETE按键进入设备主机BIOS,按下F8(不同品牌设备存在差异,以华硕为例)选择要启动的硬盘类型,选择提前插入的U盘启动。

6.2 PE示例

不同PE工具界面略有差异。

进入PE维护系统,运行BOOTICE。

6.3 修复扇区

本次为虚拟机操作。

可以看到首扇区已经不是正常的引导,而是变成了勒索信息。

MBR勒索通常是把引导信息放在第三个扇区。


为了避免意外,我们将前几个扇区先备份一下。

这样的我们直接把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存。

无论是MBR格式的磁盘还是GPT格式的磁盘,都需要打开分区管理,检查分配盘符情况,正确分配到C盘,

若发现其他盘符有抢占的情况,无法分配到C盘或已存在盘符,则重启设备即可,重启后会恢复正常。

重启测试已经能够进入服务器,检查硬盘分区和数据各项已恢复正常。


本次修复已完成。

免费评分

参与人数 8威望 +1 吾爱币 +28 热心值 +7 收起 理由
iiiiiiii8 + 1 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yunchu + 1 我很赞同!
52YR + 1 用心讨论,共获提升!
allspark + 1 + 1 用心讨论,共获提升!
Yongtime1202 + 1 + 1 我很赞同!
kissboss + 3 + 1 用心讨论,共获提升!
l146 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| Solarsec 发表于 2024-7-16 14:37 |楼主

您好,Bootkit病毒是指寄存于磁盘主引导区,通过系统启动来进行提权的病毒并执行操作的病毒。这个样本则是对引导盘进行加密来锁定操作系统。一个是修改系统启动过程,而另一个则是锁定系统。两者是不同类型的病毒。
沙发
n1kOvO 发表于 2024-7-16 11:50
3#
sxp3468 发表于 2024-7-16 11:52
4#
Qiaoyuexuan 发表于 2024-7-16 12:40
值得学习
5#
shaokui123 发表于 2024-7-16 13:11
意思这个毒只是破坏了mbr信息,电脑里文件没有被全部混淆加密?
6#
DawnXi 发表于 2024-7-16 14:00
算是bootkit么?
7#
你好,再见 发表于 2024-7-16 14:14
这是哪个小朋友出来整活了?以前特别火
https://www.52pojie.cn/thread-1001655-1-1.html
8#
 楼主| Solarsec 发表于 2024-7-16 14:15 |楼主
shaokui123 发表于 2024-7-16 13:11
意思这个毒只是破坏了mbr信息,电脑里文件没有被全部混淆加密?

您好,经过我们的分析,这个病毒通过对首扇区进行加密,将首扇区由正常的引导变成了勒索信息,并没有对磁盘内的文件进行加密,因此只需要使用工具即可还原。
9#
 楼主| Solarsec 发表于 2024-7-16 14:21 |楼主
你好,再见 发表于 2024-7-16 14:14
这是哪个小朋友出来整活了?以前特别火
https://www.52pojie.cn/thread-1001655-1-1.html

不太清楚hhhh没有进一步溯源
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 07:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表