吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 50851|回复: 392
收起左侧

[PC样本分析] "微信支付"勒索病毒愈演愈烈 边勒索边窃取支付宝密码

    [复制链接]
火绒安全实验室 发表于 2018-12-4 00:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2018-12-4 18:23 编辑

一、        概述
12月1日爆发的"微信支付"勒索病毒正在快速传播,感染的电脑数量越来越多。病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。首先,该病毒巧妙地利用"供应链污染"的方式进行传播,目前已经感染数万台电脑,而且感染范围还在扩大;其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。
火绒团队强烈建议被感染用户,除了杀毒和解密被锁死的文件外,尽快修改上述平台密码。
图:日均感染量图,最高13134台(从病毒服务器获取的数据)
据火绒安全团队分析,病毒作者首先攻击软件开发者的电脑,感染其用以编程的"易语言"中的一个模块,导致开发者所有使用"易语言"编程的软件均携带该勒索病毒。广大用户下载这些"带毒"软件后,就会感染该勒索病毒。整过传播过程很简单,但污染"易语言"后再感染软件的方式却比较罕见。截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。
图:供应链污染流程
此外,火绒安全团队发现病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,火绒安全团队通过解密下发的指令后,获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息。

二、        样本分析
近期,火绒追踪到使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精易模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:
供应链污染流程图
编译环境被感染后插入的恶意代码
在易语言精易模块中被插入的易语言恶意代码,如下图所示:
精易模块中的恶意代码
在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组"白加黑"恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:

下载病毒文件相关代码
病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:
请求到的网页内容
上述数据经过解密后,可以得到一组下载配置。如下图所示:
被解密的下载配置
解密相关代码,如下图所示:
解密代码
通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:
数据文件
libcef.dll
libcef.dll中的恶意代码被执行后,首先会请求一个豆瓣网址链接(https://www.douban.com/note/69*56/)。与被感染的易语言编译环境中的病毒插入的病毒代码逻辑相同,恶意代码可以通过豆瓣链接存放的数据,该数据可以解密出一组下载配置。解密后的下载配置,如下图所示:

下载配置

下载代码,如下图所示:
下载代码

下载截取后的有效恶意代码数据中,包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外,下载的Payload文件中还包含有一个Zip压缩包,配合在病毒代码中所包含的通用下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式,导致相关病毒感染量呈指数级增长。相关代码,如下图所示:
定位Payload压缩包位置回写文件

通过筛查豆瓣链接中存放的加密下载配置数据,我们发现在另外一个豆瓣链接(https://www.douban.com/note/69*26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置,如下图所示:

下载配置

我们在病毒模块JPG扩展名后,用"_"分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况,如下图所示:

勒索病毒压缩包目录情况



三、        病毒相关数据分析
火绒通过病毒作者存放在众多网址中的加密数据,解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器,通过访问数据库,我们发现通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。
我们还在服务器中发现被盗号木马上传的键盘记录信息,其中包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余条。
我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据,通过仅对一台服务器数据的分析,我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。
日均感染量,如下图所示:

日均感染量

感染总量统计图,如下图所示:
感染总量

现火绒已经可以查杀此类被感染的易语言库文件,请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。查杀截图,如下图所示:


火绒查杀截图



四、        附录
样本SHA256:


点评

真正的开门揖盗引狼入室,用户智商捉急杀软再强也是摆设,病毒直接加入白名单,等发作了连杀软都只能干瞪眼。  发表于 2018-12-27 17:32
昨天刚下了个模块!还没用!吓得我瑟瑟发抖!  发表于 2018-12-6 09:31
该封的不封,不该封的封一大堆,三流论坛,一打开各种垃圾广告营销!不服来喷  发表于 2018-12-4 10:58
我既然说的出这话,我就不怕喷子来喷我,有多少大神被封了帐号心凉的。  发表于 2018-12-4 10:57
那论坛那些管理和客服基本都是混吃等死的,真正的开源帖就删了你的,病毒帖就舔狗一样的加精,曙光 就是被他们封了ID。  发表于 2018-12-4 10:55
精易那么大的论坛沦陷了?一点都不知情?  发表于 2018-12-4 10:25

免费评分

参与人数 155吾爱币 +147 热心值 +142 收起 理由
天秤 + 1 + 1 谢谢@Thanks!
Tomcrack520 + 1 确实利用供应链污染的方式真的让人觉得很可怕
Rick_Fang + 1 谢谢@Thanks!
lqqqqqqqqqq + 1 谢谢@Thanks!
zhangbiaohaha + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
malno + 1 + 1 谢谢@Thanks!
yjceng_10 + 1 + 1 我很赞同!
空不了 + 1 + 1 热心回复!
tflyr + 1 精易论坛早就已经不是我们认识的论坛了
赤玄 + 1 + 1 谢谢@Thanks!
2660409135 + 1 + 1 我很赞同!
cskz008 + 1 + 1 用心讨论,共获提升!
beatit + 2 + 1 我很赞同!
Endlessos + 1 + 1 我很赞同!
天水忘宸 + 1 谢谢@Thanks!
我爱Rain + 1 谢谢@Thanks!
繁华—落幕 + 1 + 1 key就摆在本地。。。。
rack + 1 + 1 热心回复!
accker + 1 + 1 谢谢@Thanks!
星辰无影 + 1 + 1 谢谢@Thanks!
逍遥熙风 + 1 说实话,这是个垃圾病毒
松风夜静 + 1 + 1 用心讨论,共获提升!
dd650705 + 2 + 1 谢谢@Thanks!
zaoniexiong + 1 + 1 热心回复!
潇洒超人 + 1 + 1 精易的管理垃圾 人也垃圾 11年注册的账号 看不惯这垃圾论坛
书左生 + 1 热心回复!
touhoufans + 1 + 1 谢谢@Thanks!
想要n1陪伴 + 1 + 1 还是我吾爱论坛好,虽然接广告但是不乱
onething + 1 + 1 谢谢@Thanks!
山下烟雨 + 1 + 1 我很赞同!
HoweverBut + 1 + 1 谢谢@Thanks!
q3239006 + 1 + 1 热心回复!
帝寰清羽 + 1 + 1 谢谢@Thanks!
AngryChina + 1 + 1 我很赞同!
西山先生 + 1 + 1 用心讨论,共获提升!
Starry丶Sky + 1 + 1 谢谢@Thanks!
jingjingrm + 1 + 1 谢谢@Thanks!
qwer1193 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yangcongwen + 1 + 1 瑞星说的小学生病毒,这脸打的,看着都疼
橙子 + 1 + 1 我很赞同!
sunnylds7 + 1 + 1 恐怖如斯
weimo + 1 + 1 谢谢@Thanks!
非常猥锁 + 1 + 1 火绒强大无比啊!
有阴也有阳 + 1 + 1 很给力!
奈何沧海 + 1 + 1 我很赞同!
ghugyul + 1 热心回复!
bulight + 1 我很赞同!
e5500236 + 1 我很赞同!
Yanwu + 1 + 1 用心讨论,共获提升!
蛤蟆大叔 + 1 + 1 谢谢@Thanks!
avort + 1 + 1 热心回复!
kingdiao + 1 鼓励转贴优秀软件安全工具和文档!
snccwt + 1 + 1 热心回复!
zccandfg + 1 + 1 鼓励转贴优秀软件安全工具和文档!
玉麒麟 + 1 + 1 我很赞同!
我的房间有点暗 + 1 + 1 膜拜大神
feiteng666 + 1 + 1 谢谢@Thanks!
LEP + 1 + 1 热心回复!
詺哥 + 1 + 1 用心讨论,共获提升!
79578341 + 1 要么年薪百万,要么牢底坐穿
完蛋先生 + 1 + 1 谢谢@Thanks!
xeijian999 + 1 我很赞同!
会游泳的狗 + 1 + 1 谢谢@Thanks!
Sang379609153 + 1 + 1 热心回复!
﹏﹏静止° + 1 + 1 国内如影随形安全早就分析完毕了,怕人喷没发
Jerry_bean + 1 + 1 谢谢@Thanks!
u_umiao + 1 + 1 我很赞同!
Sunky77 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qwebean + 1 我很赞同!
落魄人 + 1 + 1 谢谢@Thanks!
半缕浮生° + 1 + 1 鼓励转贴优秀软件安全工具和文档!
热心市民王先生 + 1 用心讨论,共获提升!
风轻然雨朦胧 + 1 + 1 有火绒就放心
MaiLeQiong + 1 + 1 谢谢@Thanks!
myheartwillg + 2 + 1 我很赞同!
考拉熊 + 1 + 1 谢谢@Thanks!
tomcath + 1 + 1 谢谢@Thanks!
好人卡 + 1 + 1 谢谢@Thanks!
zzplng + 1 + 1 热心回复!
温馨提示 + 1 + 1 我很赞同!
CGS025 + 1 热心回复!
gdx366 + 1 + 1 热心回复!
JackYu1998 + 1 + 1 用心讨论,共获提升!
吾爱赚赚 + 1 + 1 这个95后是厉害了,我的哥!!
cyy152 + 1 + 1 热心回复!
极地企鹅 + 1 + 1 用心讨论,共获提升!
l101 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
cdr007 + 1 + 1 谢谢@Thanks!
饭碗的彼岸 + 1 + 1 我很赞同!
一生一时 + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
xinkui + 1 + 1 用心讨论,共获提升!
yaletao + 1 + 1 用心讨论,共获提升!
xugudr + 1 + 1 热心回复!
leey1994 + 1 用心讨论,共获提升!
rogers + 1 + 1 谢谢@Thanks!
ytw6176 + 1 + 1 火绒威武
爱情避风港a + 1 鼓励转贴优秀软件安全工具和文档!
沾染世俗 + 1 谢谢@Thanks!
Mugi + 1 我很赞同!
战歌酒吧 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

willgoon 发表于 2018-12-4 10:45
本帖最后由 willgoon 于 2018-12-4 10:52 编辑
吾爱支持 发表于 2018-12-4 07:33
这也正常……其实现在的编程人员的技术水平远远高于之前的老人的时代……而我们所用的很多东西都是以前一路 ...

不能说现在的编程人员水平比以前厉害 应该说真正的大神们一直存在(不说外国的 就说国内的张小龙、求伯君、雷军、朱崇君、吴涛、王志东、王峻涛、鲍岳桥、简晶、周志农、吴晓军、王江民、李儒雄等等)只是真正的大神从来不会干这种低级龌龊的事 因为他们的实力在那 他们是不会缺钱的 不会用这种低级的方式索取金钱 用这种低级的方式是在侮辱他们的身份 只有赚不到钱的人 才会用这种下三滥的方式 而且在吾爱这么知名的技术论坛 卧龙藏龙 真正的大牛数不胜数 只是都比较低调与不屑而已 火绒是因为想帮大家才出手的 能让火绒扒的这么干净 至少证明他和火绒的技术人员都不是一个级别的 拿他和火绒的技术人员比 都是在侮辱火绒

点评

任何能大面积扩散的病毒都非小学生病毒-。- 你觉得你行你去  发表于 2018-12-7 13:13

免费评分

参与人数 9吾爱币 +6 热心值 +7 收起 理由
liumou900824 + 1 雷军?不是小米的那个吧?
泰然处之 + 1 + 1 我很赞同!
xmp12345 + 1 用心讨论,共获提升!
非常猥锁 + 1 我很赞同!
kajweb + 1 我很赞同!
610100 + 1 + 1 我很赞同!
新手小渣渣 + 1 + 1 我很赞同!
独行风云 + 1 + 1 我很赞同!
天云草丶少主 + 1 我很赞同!

查看全部评分

爱吾解破 发表于 2018-12-4 00:48
那个自动下载**播放器可以直接提供下载链接就好了,最近正愁没资源。

免费评分

参与人数 3吾爱币 +3 收起 理由
E飞翔 + 1 兄弟,很稳,你可以去吧源文件拿来你电脑上运行一下就有了。
天云草丶少主 + 1 最近抓得紧,你还敢开车?
seazer + 1 谢谢@Thanks!

查看全部评分

有梦之路 发表于 2018-12-4 22:16
hjdx001 发表于 2018-12-4 08:15
果然是下载了带毒的易语言模块。。。。。
我说呢,怎么全办公室就我一台电脑感染了,只有我用了易语言。。。
吾爱支持 发表于 2018-12-4 07:33
这也正常……其实现在的编程人员的技术水平远远高于之前的老人的时代……而我们所用的很多东西都是以前一路补丁过来的。
有个漏洞正常,主要是看发生了怎么补救和修复,这种事以后只会更多。
对于我们个人来讲,防范为主,毕竟网上不太平……
恋恋有词 发表于 2018-12-4 00:27 来自手机
手机装了个破解酷我音乐,老是自启很慌
wisoft 发表于 2018-12-4 00:30
这么快就查清楚原油了,厉害了
头像被屏蔽
lggjlpph 发表于 2018-12-4 00:35
提示: 作者被禁止或删除 内容自动屏蔽
topcookie 发表于 2018-12-4 00:39
手机上没事吧,看着都是windows的
youngperson 发表于 2018-12-4 01:15
勒索边窃取支付宝密码   感觉到了害怕
610100 发表于 2018-12-4 01:24
火绒好厉害,支持
丿终结者 发表于 2018-12-4 01:45
防不胜防
clocks 发表于 2018-12-4 01:46
易语言开发者又脑疼一下了。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:50

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表