不修改加密文件名的勒索软件TeslaCrypt 4.0

SwordLea 2016-04-08 13:04:00

0x00 概述


安天安全研究与应急处理中心(Antiy CERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:加密文件后不修改原文件名、对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。

勒索软件TeslaCrypt在2015年2月份左右被发现【1】,它是在Cryptolocker的基础上修改而成。在其第一个版本中,TeslaCrypt声称使用非对称RSA-2048加密算法,但实际上使用的是对称的AES加密算法,由此Cisco(思科)发布了一款解密工具,在找到可恢复主密钥的key.dat文件时,可以解密被TeslaCrypt勒索加密的文件【2】;但在之后的多个版本中,勒索软件TeslaCrypt开始使用非对称的RSA加密算法,被加密的文件在无密钥的情况下已经无法成功解密了,安天CERT发现,TeslaCrypt 4.0在2016年3月份开始出现,使用的是RSA-4096加密算法。

勒索软件系列事件的出现,具有多方面原因,其中重要的一点是匿名网络和匿名支付的高度成熟。2016年春节过后,勒索软件Locky开始爆发,全球多家安全厂商发布了相应的报告,安天CERT也在2016年2月19日发布了《首例具有中文提示的比特币勒索软件“LOCKY”》【3】;2016年3月底,G-Data和趋势先后发布了修改MBR、加密整个硬盘的勒索软件Petya的报告;2016年4月初,安天CERT开始跟踪勒索软件TeslaCrypt 4.0。

0x01 传播方式


勒索软件TeslaCrypt 4.0利用网站挂马和电子邮件进行传播,在国内网站挂马发现的较少,通常利用浏览器漏洞(Chrome、Firefox、Internet Explorer)、Flash漏洞和Adobe Reader漏洞进行传播;而利用电子邮件传播的数量较多,安天CERT发现的多起勒索软件事件也都是通过电子邮件传播的。

图 1 利用电子邮件传播勒索软件

在分析TeslaCrypt的下载地址时,安天CERT研究人员发现,相同域名下存放多个TeslaCrypt 4.0程序,且文件HASH各不相同。例如:域名http://***|||pasqq.com,可以下载TeslaCrypt 4.0的地址如下:

  • http://***pasqq.com/23.exe
  • http://***pasqq.com/24.exe
  • http://***pasqq.com/25.exe
  • http://***pasqq.com/42.exe
  • http://***pasqq.com/45.exe
  • http://***pasqq.com/48.exe
  • http://***pasqq.com/69.exe
  • http://***pasqq.com/70.exe
  • http://***pasqq.com/80.exe
  • http://***pasqq.com/85.exe
  • http://***pasqq.com/87.exe
  • http://***pasqq.com/93.exe

另外,其他域名中勒索软件的下载地址同上,如:23.exe、24.exe、25.exe … 93.exe。至2016年4月7日14时,安天CERT共发现具有下载勒索软件TeslaCrypt 4.0的域名共50多个,部分域名已经失效。

部分下载勒索软件TeslaCrypt 4.0的域名:

  • ***pasqq.com
  • ***uereqq.com
  • ***ghsqq.com
  • ***rulescc.asia
  • ***rulesqq.com

0x02 样本分析


安天CERT共发现近300个勒索软件TeslaCrypt 4.0。研究人员在其中选择了时间较新的样本进行分析。

2.1 样本标签

病毒名称Trojan[Ransom]/Win32.Teslacrypt
原始文件名80.exe
MD530CB7DB1371C01F930309CDB30FF429B
处理器架构X86-32
文件大小396 KB (405,504 字节)
文件格式BinExecute/Microsoft.EXE[:X86]
时间戳5704939E -->2016-04-06 12:42:06
数字签名NO
加壳类型未知
编译语言Microsoft Visual C++
VT首次上传时间2016-04-06 04:07:00 UTC
VT检测结果28/57

2.2 使用RSA4096加密算法加密文件,但不修改原文件名

该样本运行后复制自身至%Application Data%文件夹中,重命名为wlrmdr.exe,设置自身属性为隐藏,然后使用CreateProcessW为其创建进程。

图 2 创建wlrmdr.exe进程

样本在新创建的进程中使用CreateThread开启线程,对全盘文件进行加密。首先样本使用GetLogicalDriveStringsW获取所有逻辑驱动器,成功后使用FindFirstFileW与FindNextFileW遍历全盘所有文件,进行加密。

图 3 遍历磁盘文件

加密函数地址为0x0040190A。

图 4 调用加密函数对遍历到的文件加密

利用RSA4096算法加密后,调用WriteFile将加密后的数据由内存写入文件,没有对文件名做修改。

图 5 将加密后的数据写入文件

加密前后的文件对比:

图 6加密前后的文件对比

2.3 对抗安全工具

样本会查找系统中是否存在包含字符串的进程并将其隐藏,使用用户无法“看到”这些工具:

“taskmg”任务管理器
“regedi”注册表管理器
“procex”进程分析工具
“msconfi”系统配置
“cmd”命令提示符

图 7 隐藏cmd界面

2.4 具有PDB信息

样本具有PDB信息,其文件名为“wet problem i yuoblem i_x.pdb

图 8 样本的调试信息中包含PDB信息

2.5利用CMD自启动

样本调用RegCreateKeyExW,将使用CMD启动自身的代码写入至注册表中,使其随系统开机启动。

图 9 利用CMD达到随系统开机启动的目的

2.6使用非常规的函数调用和跳转

样本使用了很多非常规的函数调用和跳转,用来阻止安全人员分析该病毒。

图 10 非常规的函数调用

图 11 非常规的跳转

2.7 TeslaCrypt 4.0加密的文件格式

图 12 TeslaCrypt 4.0加密的文件格式

0x03 总结


勒索软件对企业和个人用户都具有极大的威胁,被加密后的文件无法恢复,将给用户造成巨大的损失。解决勒索软件的威胁问题除安装安全产品、防护产品、备份产品外,更需要用户在接收邮件时谨慎小心,慎重打开邮件附件或点击邮件内的链接,尤其是陌生人邮件。

安天智甲终端防护系统(IEP)可以在用户误点击运行勒索软件时阻止其对用户文件进行加密。

0x04 附录一:参考资料


0x05 附录二:安天CERT发现的50多个传播勒索软件的域名


marvellrulescc.asiawitchbehereqq.comohelloguymyff.com
arendroukysdqq.comisityouereqq.comjoecockerhereff.com
blablaworldqq.comjeansowghsqq.comhowisittomorrowff.com
fromjamaicaqq.commarvellrulesqq.comgiveitalltheresqq.com
goonwithmazerqq.comgreetingseuropasqq.comgiveitallhereqq.com
gutentagmeinliebeqq.comgrandmahereqq.comohelloguyzzqq.com
hellomississmithqq.commafiawantsyouqq.comjeansowghtqq.com
hellomisterbiznesqq.comspannflow.comgrandaareyoucc.asia
hellomydearqq.comohelloguyqq.comimgointoeatnowcc.com
helloyoungmanqq.combonjovijonqq.comwashitallawayff.com
howareyouqq.comjoecockerhereqq.comgreetingsjamajcaff.com
invoiceholderqq.comitsyourtimeqq.suhpalsowantsff.com
itisverygoodqq.comblizzbauta.comohellowruff.com
lenovomaybenotqq.comyesitisqqq.comohelloweuqq.com
lenovowantsyouqq.comthisisitsqq.comujajajgogoff.com
mafianeedsyouqq.comsoclosebutyetqq.comohiyoungbuyff.com
mommycantakeff.comisthereanybodyqq.comhelloyungmenqq.com
thisisyourchangeqq.comohelloguyff.com

0x06 附录三:安天CERT发现的C&C地址


  • addagapublicschool.com/binfile.php
  • kel52.com/wp-content/plugins/ajax-admin/binstr.php
  • closerdaybyday.info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.php
  • coldheartedny.com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.6.0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.php
  • thejonesact.com/wp-content/themes/sketch/binfile.php
  • theoneflooring.com/wp-content/themes/sketch/binfile.php
  • mahmutersan.com.tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.php
  • myredhour.com/blog//wp-content/themes/berlinproof/binstr.php
  • controlfreaknetworks.com/dev/wp-content/uploads/2015/07/binstr.php
  • sappmtraining.com/wp-includes/theme-compat/wcspng.php
  • controlfreaknetworks.com/dev/wp-content/uploads/2015/07/wcspng.php
  • vtechshop.net/wcspng.php
  • sappmtraining.com/wp-includes/theme-compat/wcspng.php
  • shirongfeng.cn/images/lurd/wcspng.php
  • 198.1.95.93/~deveconomytravel/cache/binstr.php
  • helpdesk.keldon.info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.php
  • hotcasinogames.org/binfile.php
  • goldberg-share.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.php
  • opravnatramvaji.cz/modules/mod_search/wstr.php
  • studiosundaytv.com/wp-content/themes/sketch/binfile.php
  • theoneflooring.com/wp-content/themes/sketch/binfile.php
  • hotcasinogames.org/binfile.php
  • pcgfund.com/binfile.php
  • kknk-shop.dev.onnetdigital.com/stringfile.php
  • forms.net.in/cgi-bin/stringfile.php
  • casasembargada.com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.php
  • csskol.org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.php
  • grosirkecantikan.com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.php
  • naturstein-schubert.de/modules/mod_cmscore/stringfile.php
  • vtc360.com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.php
  • starsoftheworld.org/cgi-bin/binarystings.php
  • holishit.in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.php
  • minteee.com/images/binstr.phpnewculturemediablog.com/wp-includes/fonts/wstr.php
  • drcordoba.com/components/bstr.php

0x07 附录四:关于安天


安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

评论

S

SwordLea

安天第一副总工程师

twitter weibo github wechat

随机分类

iOS安全 文章:36 篇
硬件与物联网 文章:40 篇
前端安全 文章:29 篇
事件分析 文章:223 篇
Windows安全 文章:88 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录