欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

解码内置不安全“加密芯片”的勒索软件Gomasom

来源:本站整理 作者:Voraka 时间:2017-05-08 TAG: 我要投稿


前言
最近,我们发现了一种新型的勒索软件,因其使用了gmail作为邮箱服务器,故被命名为Gomasom。当用户运行了该勒索软件时,用户的文件会被加密,加密后的文件后缀名为”.crypt”。加密完成后会在桌面生成文件”Crypted.txt”,提示用户通过恶意软件作者提供的网址支付100欧元赎金。
通过谷歌搜索Gomasom勒索软件并且初步分析后发现,这是该家族的一个新变种,其加密方式与网上所描述的加密方式及症状并不完全相同,并且也不能通过网上的解密工具来解密加密后的文件。因此我决定逆向分析其算法并写出它的解密工具。
感染症状
当恶意程序运行后,桌面会显示如下的勒索信息界面:

同时,桌面和C盘根目录会生成一个txt文件“Crypted.txt”,如图:

其中有一段字符串值得引人注意”S/N \dvwclF10U!)3p7“,初步猜测可能与密钥有关。
文件被加密,文件后缀名被更改为“.crypt”,如图:

我们打开了恶意作者提供的网站,原文为俄语,通过翻译后,发现如下信息:

作者声称使用了3DES加密算法,并且“有许多的唯一的密钥被用来加密文件,想要解密是不可能的事情”。作者是否真的用了3DES算法加密文件?是否真的没办法恢复加密后的文件?带着疑问我们接下去通过逆向进行分析。
样本分析
我们发现样本使用了upx壳,脱完壳我们发现程序是用delphi语言写的,在动态分析之前,我使用分析软件PEID和 DeDe 来尝试获得一些有价值的信息。
通过PEID的Krypto Analyzer插件,我们发现使用了三种算法:base64, DES, MD5。如图:

通过Dephi反编译工具DeDe 进行反编译后,如图:

通过上图可以发现,病毒样本使用了名为”TDCP”的一个封装过的加密算法的类。通过搜索发现,这是一个开源的Dephi的加密算法类,名为DCPcrypt。粗略的看了下源码,由于源码中使用到的算法种类比较多,从源码中无法准确得知病毒样本使用了哪种算法,因此接下来进行动态分析。
判断文件”C:\crypted.txt”是否存在,若存在则退出程序。如图:

S/N生成算法
通过调用Windows API函数 QueryPerformanceCounter,来获得随机数种子。随机种子seedl 接下去通过一个自定义码表生成一段长为14(0xe)字节的随机的字符串;随机种子seed0 被用作初始密钥的索引。
_rand生成种子seed

_srand()通过seed种子,进一步运算生成新的种子。如图:

将以上的代码,转化为Python代码,如图:

利用种子seedl,通过自定义码表获得随机字符,如图:

转化为Python代码,如图:

待加密文件后缀
初始化后缀名列表,如图:

通过Python代码重新整理后,待加密的文件后缀名名列表如图:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载