欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

最具同情心的勒索软件套件Philadelphia

来源:本站整理 作者:佚名 时间:2017-04-15 TAG: 我要投稿

最近,一种新型的勒索软件服务(RaaS)名为Philadelphia,开始向外以400美元的价格售卖,这个恶意软件作者的名为Rainmaker。据Rainmaker所说,该程序套件提供一种低成本的勒索软件服务,它允许任何一个有犯罪意图的人发动高级的勒索软件攻击,并且它操作简单,成本低。
同时,据Rainmaker介绍,Philadelphia“创新”勒索软件服务市场,它具有自动检测功能:当付款已经完成,然后自动解密;感染USB驱动器,并通过网络感染其他计算机。 特别值得注意的是,“同情按钮”将提供给赋有同情心的犯罪分子解密特定受害者的文件。 为了演示这种新的勒索软件服务,Rainmaker创建了一个显示其功能的PDF和视频。
感染症状
当文件被加密后,文件名称将被更改为.lock后缀的文件名。例如文件test.jpg可能会变成7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. 加密完成后会显示下面的锁屏图像:

如上图所示,受害者被要求支付0.3比特币,并且勒索软件声称加密文件的算法使用了AES-256和RSA-2048。最后勒索软件作者将重要的事情说了3遍——发送0.3比特币到下面的地址!!!
样本分析
通过进一步观察,该恶意软件是由AutoIT脚本编写并打包生成。通过反编译该AutoIT恶意程序,我们发现了其中的两个不同的版本。因此我们将分别分析它们。
V1.0
将自身拷贝到%appdata%\scvhost.exe,并且列出了待加密文件的类型:

添加开机自启动:

待加密的目录:

加密 加密硬盘,可移动硬盘,网络映射:


经过混淆的加密文件算法:
 $48E2CB6EE27D6950 &= _48E2CBFBE08D6950 ( 0 , STRINGTRIMRIGHT ( $48E02B6BE07D6950 [ $48E02B6BE07D6950 [ 0 ] ] , STRINGLEN ( ".locked" ) ) , $48E21B4BE07D6950 )
 IF _48E2CB6BE0E16950 ( $48E30B6BE07D6950 , $48E2CB6EE27D6950 , $48E21B4BE07D6950 , $48E2CB6BC77D6950 ) AND NOT @ERROR THEN
 _48E2BB6BE0CD6950 ( $48E30B6BE07D6950 )
用于加密的 Windows 库函数的初始化:
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptCreateHash" , "handle" , _48E2CBDBE00D6950 ( ) , "uint" , $48E2CB63E07D6950 , "ptr" , 0 , "dword" , 0 , "handle*" , 0 )
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptHashData" , "handle" , $48E2CB6B407D6950 , "struct*" , $48E2CB6BE02D6950 , "dword" , DLLSTRUCTGETSIZE ( $48E2CB6BE02D6950 ) , "dword" , $48E2CB6BE0ED6950 )
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptDeriveKey" , "handle" , _48E2CBDBE00D6950 ( ) , "uint" , $48E2CB3BE07D6950 , "handle" , $48E2CB6B407D6950 , "dword" , $48E28B6BE07D6950 , "handle*" , 0 )
$48E24B6BE07D6950 = DLLCALL ( _48E2CB64B07D6950 ( ) , "bool" , "CryptEncrypt" , "handle" , $48E27B6BE07D6950 , "handle" , 0 , "bool" , $48E2CD6BE07D6950 , "dword" , 0 , "ptr" , 0 , "dword*" , BINARYLEN ( $48E2BB6BE07D6950 ) , "dword" , 0 )
经过对上面混淆过后的代码回溯跟踪和分析,函数 _48E2CB6BE0E16950() 用来加密文件, 变量$48E2CB6BC77D6950是加密文件函数的一个重要参数,继续向上找发现该变量的初始化代码:
 GLOBAL CONST $48E2CB6BC77D6950 = 26128    //0x6610      CALG_AES_256
正如恶意软件所描述的,采用了AES-256加密算法,但是我们没有看到RSA加密算法。
生成随机数作为密钥:

V2.0
新的版本在大的功能方面和核心算法方面并没有太大的变化,故不作重复列举,以下只列出与旧版本不同的部分。
通过反编译我们发现,新版本的勒索软件Philadelphia释放了一个INI文件作为恶意软件的配置文件。
互斥体名,UAC,C2, 提示信息:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载