吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10445|回复: 25
收起左侧

[转载] vvv病毒样本分析

[复制链接]
钢铁侠_123 发表于 2017-6-26 11:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 钢铁侠_123 于 2017-6-26 12:23 编辑


360互联网安全中心监控到,已经沉寂一段时间的CryptoLocker(文档加密敲诈者)类木马,本月初在国内又开始传播感染。
本次传播的木马是之前CTB-Locker木马的一个变种,在加密文档之后,会在文档文件名之后加入“.vvv”,该病毒也因此被称为VVV病毒。
0x00 概述
经分析,该木马的核心加密功能,是根据臭名昭著的TeslaCrypt(特斯拉加密者,与那个电动汽车厂商没有任何关系)的最新版本改写而来。
TeslaCrypt从今年2月份正式“出道”以来,已经经过了8个版本的迭代。其中前4个版本加密后的文档都可以通过工具恢复,
但从第5版开始则无法再恢复。且其第5版和第7版都曾在国内有过不同规模的爆发。此次病毒事件主要的传播地区在日本,
twitter上搜索“vvvウイルス”已经闹翻了天了:



而我国出现该病毒完全属于“躺枪”。之所以说是“躺枪”,
其实看下对方的勒索要求就很明显了。对方给出了四个所谓的“私人页面(PersonalPages)”要求你去访问并获取交易信息。
但实际上这四个网站的域名分别为:
?
1234
encpayment23.comexpay34.comhsh73cu37n1.netonion.to
这其中,只有最后一个onion.to可以访问,但这是一个“TorHiddenServicesGateway”,也就是说这是一个用洋葱路由的方式专门用来隐藏背后真实服务商的网站,
并且还需要你安装一个所谓的“TorBrowser”进入洋葱网络才能正常浏览,于是:

几个小时过去了……然后就没有然后了……也就是说即便我想要老老实实的交付赎赎金,也是一个不可能完成的任务。
0x01 传播
不只是不能访问的页面,根据我们的监控数据看,也印证了该木马并非针对中国而来——刚刚进入12月的时候木马感染量有过一次小规模的上涨,
而最近几天的传播量更是创了一个新高。但即便如此每天的木马活跃了也没有超过100个,所以说总体而言该木马在我国并没有真正意义上的“爆发”起来。
而国内中招用户大部分也是通过比较传统的途径感染的木马——电子邮件:

邮件声称你有一笔未偿欠款,如果逾期不还的话,会产生7%的利息。而附件中所谓的“单据副本”其实就是这个木马。
多么典型的诈骗内容——“您有欠款”、“您欠电话费了”、“您有未接收的快递”、“您有法院传票”……看来用这样的说辞并非国人的专利。但全篇的英语又有几个人会去仔细看完然后点开附件呢?这也就是在国内传播量很小的主要原因。而实际上,该木马在国外的传播途径不仅仅是邮件传播,也包括一部分通过网页挂马(以去年最后的CVE-2014-6332和今年出镜率最高的CVE-2015-5122这两个漏洞的利用为主)来实现的木马传播,但由于经常访问的网站有很大不同,所以在国内因为网页挂马导致感染该木马的情况并不多见。
0x02 样本分析
样本最开始的来源是一个伪装成发票单的js脚本

咋看内容是一堆乱码:

对其格式稍加调整之后,可以发现,其实就是一些字符的混淆,最后通过eval函数执行。

直接将其eval的内容log输出,就能看到真正执行的代码了,功能比较简单,只是一个木马下载器

样本本身带有一个简单的保护壳,启动后,会检测自身路径,如果不在%appdata%下,
会将自身拷贝过去,并再次启动,之后删除之前的木马文件,达到隐藏自身的目的。

木马在%appdata%下执行之后,会再次启动自身,解密隐藏的代码,注入到启动的这个子进程中:

木马使用这种方法,试图绕过传统特征码定位引擎的查杀,解码出来的程序是真正的木马工作部分:
木马的整体流程控制上,和之前的ctb-locker比较相似

由于这个模块是通过注入方式执行的,启动后会通过GetProcAddress找到找到所需的系统API:

木马在感染之前,会先将自身写入启动项,保证下次开机仍能够启动!

木马中配置等各类地址,都经过了重新编码,用来对抗分析:

解码出的内容包括木马控制服务器,密钥交换时提及的信息结构:

12345
0012DD0C   00CD1B18  ASCII "Sub=%s&key=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&gate=%s&ip=%s&inst_id=%X%X%X%X%X%X%X%X"0012DC98   01062040  ASCII "http://crown.essaudio.pl/media/misc.php"0012DCF0   01061F38  ASCII "http://graysonacademy.com/media/misc.php"0012DD04   01061E30  ASCII "http://grupograndes.com/media/misc.php"0012DD18   01061D28  ASCII "http://grassitup.com/media/misc.php"
密钥生成方式和之前的CTB-Locker一致,都是通过ECDH生成,如果没有服务器上的私鈅目前无法获取到加密密钥。


文件加密过程中,会排除掉带有.vvv扩展名的文件和带有recove的文件:

加密如下190种类型的文件:
?
12345678910111213141516
|.r3d|.ptx|.pef|.srw|.x3f|.der|.cer|.crt|.pem|.odt|.ods|.odp|.odm|.odc|.odb|.doc|.docx|.kdc|.mef|.mrwref|.nrw|.orf|.raw|.rwl|.rw2|.mdf|.dbf|.psd|.pdd|.pdf|.eps|.jpg|.jpe|.dng|.3fr|.arw|.srf|.sr2|.bay|.crw|.cr2|.dcr|.ai|.indd|.cdr|.erf|.bar|.hkx|.raf|.rofl|.dba|.db0|.kdb|.mpqge|.vfs0|.mcmeta|.m2|.lrf|.vpp_pc|.ff|.cfr|.snx|.lvl|.arch00|.ntl|.fsh|.itdb|.itl|.mddata|.sidd|.sidn|.bkf|.qic|.bkp|.bc7|.bc6|.pkpass|.tax|.gdb|.qdf|.t12|.t13|.ibank|.sum|.sie|.zip|.w3x|.rim|.psk|.tor|.vpk|.iwd|.kf|.mlx|.fpk|.dazip|.vtf|.vcf|.esm|.blob|.dmp|.layout|.menu|.ncf|.sid|.sis|.ztmp|.vdf|.mov|.fos|.sb|.itm|.wmo|.itm|.map|.wmo|.sb|.svg|.cas|.gho|.syncdb|.mdbackup|.hkdb|.hplg|.hvpl|.icxs|.docm|.wps|.xls|.xlsx|.xlsm|.xlsb|.xlk|.ppt|.pptx|.pptm|.mdb|.accdb|.pst|.dwg|.xf|.dxg|.wpd|.rtf|.wb2|.pfx|.p12|.p7b|.p7c|.txt|.jpeg|.png|.rb|.css|.js|.flv|.m3u|.py|.desc|.xxx|.wotreplay|wallet|.big|.pak|.rgss3a|.epk|.bik|.slm|.lbf|.sav|.re4|.apk|.bsa|.ltx|.forge|.asset|.litemod|.iwi|.das|.upk|.d3dbsp|.csv|.wmv|.avi|.wma|.m4a|.rar|.7z|.mp4|.sql|
在对文件加密完成之后,会对加密好的文件进行重命名,加入vvv扩展名:


和其它木马判断完整进程名不同,这个木马会判断系统是否运行有程序,
带有askmg,rocex,egedi,sconfi,cmd这些关键词的程序,如果带有,就结束这些程序,
实际上对应的是procexp.exe,taskmgr.exe之类的辅助分析工具等。

加密完成后,会在被加密文件夹下生成:

最后敲诈者展示这个勒索页面:

0x03 最后
由于一旦中招,机器中的所有资料全会被加密,并且完全无法恢复(如上所说,即便你愿意付赎金,也可能无处可付),所以对此类木马的警惕性依然是非常有必要的。
用户在使用计算机的过程中,对重要文件,最好进行隔离备份,减小各类应病毒木马攻击,程序异常,硬件故障等造成的文件丢失损失。
同时也要养成良好的习惯,不要随意打开陌生邮件的附件。
安装具有文档防护功能的安全软件,对于安全软件已经提示风险的程序,不要继续执行。






转自:http://www.2cto.com/article/201512/453330.html

免费评分

参与人数 7吾爱币 +5 热心值 +6 收起 理由
CrestKing + 1 我很赞同!
伤or悲 + 1 我很赞同!
孤独之悔 + 1 + 1 热心回复!
yangcg + 1 + 1 热心回复!
守护神艾丽莎 + 1 + 1 热心回复!
adsl96 + 1 + 1 用心讨论,共获提升!
MwYa + 1 热心回复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

勤快的懒虫 发表于 2017-6-26 11:30
谢谢分享我来学习了
聊无知己 发表于 2017-6-26 11:48
“此次病毒事件主要的传播地区在日本”,完了,一堆小姐姐被加密了
D仔 发表于 2017-6-26 11:54
zeng110114 发表于 2017-6-26 12:10 来自手机
学习了。感谢
c3097 发表于 2017-6-26 12:19
谢谢分享。
宁丹妮 发表于 2017-6-26 13:33
感觉还是装上杀毒软件有保障
王美君 发表于 2017-6-26 15:08
裸奔的注意,不要乱下载和安装就好
sec360zz 发表于 2017-6-26 15:52
要是有样本就更好了
xa11185 发表于 2017-6-26 18:32
主要传播地区。。。也是醉了。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表