2. 程式人生 > >Globlemposter勒索病毒變種樣本

Globlemposter勒索病毒變種樣本

阿新 發佈:2018-05-21
font llc war 所有 file window PE lena echo

一.樣本概況

1、樣本信息

樣本來源:http://www.malware-traffic-analysis.net/2017/12/04/index.html

Kaspersky,NOD32,360均報毒:

技術分享圖片

MD5: 2908715EEC754ABA1AD21414B23CAFB6

SHA1: 4AF27F4B95F29F877D0ABB1167E6B1148C1849BD

CRC32: 64CAEB77

2、測試環境及工具

系統環境:win7_7600_x86

工具:

3、病毒行為

進行勒索:

技術分享圖片

文件加密:

文件加密為.doc後綴。

技術分享圖片

刪除鍵值項:

技術分享圖片

二、具體行為分析

1、特征

Globlemposter家族病毒有兩個主要的特征:

ShellCode執行 PE文件釋放執行

1.1、拷貝執行ShellCode

技術分享圖片

內部采用TEA算法加密ShellCode:

技術分享圖片

技術分享圖片

1.2、Pe文件釋放執行

Dump下來的ShellCode,修改0x400000屬性為可執行,並釋放了PE文件,跳到OEP執行。

技術分享圖片

技術分享圖片

2、行為

把PE文件 dump下來分析,先列出其它行為。

2.1、修改註冊表 開機啟動

復制文件,目錄:C:\Users\15pb-win7\AppData\Roaming\PE.exe

設置啟動項,鍵值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck

技術分享圖片

技術分享圖片

1.2、創建.bat文件刪除信息

在Temp目錄下創建.bat文件,運行.bat文件分別刪除卷影、RDP連接歷史記錄、日誌信息。

技術分享圖片

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

cd %userprofile%\documents\

attrib Default.rdp -s -h

del Default.rdp

for /F "tokens=*" %1 in (‘wevtutil.exe el‘) DO wevtutil.exe cl "%1"

2.3、自刪除

cmd 執行 /c del C:\Users\15pb-win7\Desktop\PE.exe 自刪除。

技術分享圖片

3、文件加密

勒索病毒重點在於加密文件,所以重點對加密文件流程進行分析。

3.1、加密方式

病毒采用的是RSA+AES的加密方式。

一般RSA與AES結合:

技術分享圖片

病毒變相的RSA與AES結合:

共有兩對RSA公私鑰:hac_pri 和 hac_pub,user_pri 和 user_pub。

加密文件的AES密鑰。

技術分享圖片

用戶ID:包含user_pri。

secret_Ekey:包含secret_key,跟解密的AES有關。

解密過程:

黑客拿到文件後,可以提取 用戶ID 和 secret_Ekey。用自身的hac_pri解密用戶ID得到user_pri。再用user_pri解密secret_Ekey得到secret_key。

計算文件的IV參數,結合secret_key計算即可得到AES密鑰,用以解密文件。

3.2、用戶ID生成

hack_pub加密成哈希值生成用戶ID,並做為FileName,創建文件在目錄下。

目錄:C:\Users\Public\AE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7

哈希值:AE 09 C9 84 DF 6E 74 64 0B 32 71 EA DB 5D D7 C6 5F DE 80 62 35 B2 CD A4 78 E0 EF A9 12 9C 09 E7

hack_pub:

技術分享圖片

加密成hash:

技術分享圖片

創建文件:

技術分享圖片

3.3、加密文件

創建線程加密文件:

技術分享圖片

遍歷文件:

技術分享圖片

技術分享圖片

IV參數:

技術分享圖片

AES密鑰:

技術分享圖片

加密 secret_key,並將 secret_Ekey 和 用戶ID 寫進文件。

技術分享圖片

三、惡意程序對用戶造成的危害

四、解決方案(或總結)

3.1 提取病毒的特征,利用殺毒軟件查殺

特征包括:網絡ip,字符串等等

3.2 手工查殺步驟或是工具查殺步驟或是查殺思路等。

參考文獻

致謝

15pb全體教師,以及教導我的所有人。

KID

Globlemposter勒索病毒變種樣本

相關推薦

Globlemposter勒索病毒變種樣本

font llc war 所有 file window PE lena echo 一.樣本概況 1、樣本信息 樣本來源:http://www.malware-traffic-analysis.net/2017/12/04/index.html Kaspersky

勒索病毒變種不斷更新 不斷***各大企業

昨天再百度看了很多關於中病毒的帖子,大多數是受害者的自述,中了什麼樣的病毒,檔案變成了什麼樣子,復旦請問有沒有人能夠處理,病毒的檔案字尾各種各樣,我們復旦解密也是接解密到了很多諮詢,雖然出現了很多新型病毒,但是,憑藉著過硬的技術跟經驗,4全部成功處理。那麼說說,最近為什麼會出現這麼多的新7型病毒呢?首先,我們

近期勒索病毒變種字尾記錄 gamma YHDNJ yqplqbu zvcdacgjhd trmwp ihcigk Pig4444 satan

近期勒索病毒變種字尾記錄 其中 gamma pig satan 為常見的  其它的  YHDNJ yqplqbu zvcdacgjhd trmwp ihcigk  等為隨機產生的  但是加密演算法都一

變種、入.侵專網,勒索病毒你不得不關註的攻.擊趨勢

方案 後綴 dba 文章 賬號密碼 rabbit 沈澱 博弈 趨勢 2017年5月12日,一種名為“WannaCry”的勒索病毒襲擊全球150多個國家和地區,影響領域包括政府部門、醫療服務、教育、公共交通、郵政、通信和汽車制造業。很多這次攻.擊事件中的受害者,真切的感受到了

勒索病毒GandCrabV5.0.3最新變種來襲

GandCrab勒索病毒於2018年1月首次出現,在半年的時候之內,迅速發展,短短几個月時間裡就出現了V1.0,V2.0,V3.0,V4.0等幾個大的版本更新,V4.0之後又出現了V4.1,V4.2,V4.3,V4.4等幾個小版本的變種樣本,最近又發現它的最新變種GandCrabV5.0版本的變種樣本。Gan

“撒旦”勒索病毒再曝4.2變種 騰訊電腦管家文件守護者可一招解密

作為2018年最為活躍的勒索病毒之一,撒旦(Satan)利用多種漏洞入侵企業內網,給使用者帶來一定的網路安全隱患,甚至造成重大財產損失。近日,騰訊電腦管家監測到國內一大批伺服器遭入侵,經分析確認,發現植入的勒索病毒為最新的Satan4.2勒索病毒變種。目前,騰訊電腦管家已全面攔截撒旦勒索病毒最新變種

中了字尾是onyx的勒索病毒 最新變種 勒索病毒解密成功

**最近發現了最新的勒索病毒字尾,名字是onyx,這種病毒類似tiger4444/rabbit444/dragon4444字尾的勒索病毒,並附帶一個how-to-back-files.html的勒索檔案。這種病毒才是剛開始傳播,希望大家注意做好安全措施。 江蘇某企業中了字尾是。onyx的勒索病毒,經過安恆解

變種勒索病毒捲土重來/壹進位制提醒您及時防範

事 件 背 景 北京時間2017年6月27日晚勒索病毒捲土重來。據外媒報道烏克蘭、俄羅斯、荷蘭、英國等歐洲國家紛紛傳出電腦網路受到攻擊的報告,其中烏克蘭政府稱所受到的攻擊規模“前所未見”,該國政府機構、銀行和私人企業都受到影響。 報道稱,在本 輪網路攻擊中,俄羅

緊急通報:勒索病毒變種 WannaCry2.0 傳播速度或更快

訊息來源:國家網路與資訊保安資訊通報中心 國家網路與資訊保安資訊通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種:WannaCry2.0,與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。

2018最新出現的勒索病毒變種統計丨阿里雲河南

2月16日,發現DeadRansomware勒索病毒,根據勒索資訊,DeadRansomware勒索病毒加密檔案後,會勒索價值150美元的比特幣。但是分析後發現,DeadRansomware勒索病毒實際上是個鎖屏木馬,並不會加密檔案,從“Decryption Code”處輸入” DeadRansonwareD

變種GANDCRAB V5.1勒索病毒恢復http://gandcrabmfe6mnef.onio

col blog nag bmf proc 新版本 新版 pro 下載 解密GANDCRAB V5.1可以處理最新版本 解密成功http://gandcrabmfe6mnef.onion GANDCRAB系列勒索病毒已經升級到GANDCRAB v5.1版本,此版本加密更徹底

勒索病毒Satan變種來襲 目標鎖定Windows、Linux用戶

時也 表示 長時間 破解 密碼 成功 完成 web iyu 作為2018年度最為活躍的勒索病毒之一,Satan(撒旦)進入2019年之後持續更新叠代病毒,不斷出現病毒變種,企圖攫取更多利益。近日,騰訊安全禦見威脅情報中心監測發現Satan勒索病毒變種樣本。據了解,該病毒變種

高危預警:針對財務系統的Globelmposterb 5.0變種勒索病毒

src 數據庫 後綴 log https rsa 進行 權限 方法 近日,安全團隊(公眾號:網安眾安)發現針對財務系統的勒索病毒Globelmposterb新變種5.0已呈蔓延趨勢,該病毒會針對目前國內廣泛應用的財務系統及財務管理軟件默認端口5366(詳見下圖),受此病毒影

2019年4月最新勒索病毒樣本分析及數據恢復

cal RoCE gmail proc type 安裝 text file gic 1. satan病毒升級變種satan_pro特征:.satan_pro 後綴勒索郵箱:[email protected] [email protected] 等 2、

2019年5月最新勒索病毒樣本分析及數據恢復

str crypt mage imp elm 其他 img adobe 圖片 一、依然熟悉的“老面孔” 1、GANDCRAB病毒病毒版本:GANDCRAB V5.2中毒特征:<原文件名>.隨機字符串勒索信息:隨機字符串-DECRYPT.txt?隨機字符串-MA

window安裝特定補丁(勒索病毒

保留 安全模式 ron 演示 win7 公司 bsp 修復 log 最近出現震驚的蠕蟲病毒(勒索病毒),微軟也做出相應的安全補丁來修復 MS17-010。這時有些同學不想打開電腦 的自動更新,這樣會下載大量補丁,要更新完這些補丁要好幾個小時,為了不影響正常工作,我

勒索病毒爆發,WFilter教你如何應對?

網絡安全這個周末,必將成為大部分網管難忘的一個周末。過去的48小時,一輪勒索病毒攻擊在全球肆虐。英國、俄羅斯、意大利相繼淪陷。英國方面, 5月12日英國國家醫療服務體系遭遇了大規模網絡攻擊,多家公立醫院的電腦系統幾乎同時癱瘓,電話線路也被切斷,導致很多急診病人被迫轉移。在國內,各大高校成為重災區,多所院校

針對目前windows系統的所有勒索病毒補丁和安全工具

windows 勒索病毒 安全工具 針對目前windows系統的所有勒索病毒補丁和安全工具https://pan.baidu.com/s/1boBiHNx 可以下載到內網進行安裝。本文出自 “simeon技術專欄” 博客,請務必保留此出處http://simeon.blog.51cto.com/1

關於勒索病毒“永恒之藍”的解決方案

關心 wan com sys 恢復 刪除 磁盤文件 winphone 關閉 關於勒索病毒“永恒之藍”的解決方案(沒什麽新鮮的,就是通過註冊表關閉445端口) 這兩天病毒肆虐,恐怕很多同學都已經知道了。這張圖片估計也有很多人比較熟了:

Windows勒索病毒席卷全球:全系列補丁下載及解決辦法

免費殺毒軟件 殺毒 中控 根據 操作系統 nsa 運行 比特 亞洲 全網都被Windows比特幣勒索蠕蟲病毒刷屏了,該病毒名為WannaCry(及變種),攻擊了全球多個國家的組織、機構,中國多個高校也紛紛淪陷。據病毒軟件廠商Avast報告稱,至少7.5萬臺計算機