欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Stop勒索病毒变种加密机制分析,部分情况下可解密恢复

来源:本站整理 作者:佚名 时间:2019-04-15 TAG: 我要投稿

一、概述
近日,腾讯御见威胁情报中心监测到,stop勒索病毒变种(后缀.raldug)在国内有部分感染。分析发现,该版本病毒相比较于18年11月份开始活跃的DATAWAIT版本,在加密算法和病毒模块有了变化,由于该版本的stop勒索病毒在其基础设施工作正常、联网稳定情况下加密后的文件暂无法解密,我们提醒各政企机构注意防范。
Stop勒索病毒家族在国内主要通过软件捆绑,垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免。

Stop勒索病毒还具有以下特性:
1. 加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能 ;
2. 通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;
3. 因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;

4. 释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;
5. 下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。
二、分析
Stop勒索家族病毒早期部分版本使用AES算法无区别加密所有文件,文件末尾不追加硬编码附加数据。该病毒家族加密后的文件后缀数已超50余个,包括以下清单所列举的后辍名:
(.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces,  .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug)
腾讯安全御见威胁情报中心监测到近期国内流行的加密后辍为.raldug,病毒使用Salsa20加密文件。会根据文件大小采用不同的加密方案:当文件Size小于等于5字节时不加密,大于5字节时跳过文件头5字节,剩余部分小于等于0x25800(150KB)字节时全部加密,大于0x25800(150KB)则只加密0x25800部分大小,该版本样本加密文件完成后还会在末尾追加2部分的硬编码字符串,并最终修改文件名添加扩展后缀.raldug。
当前病毒使用Salsa20加密文件:

加密时判断文件大小

大于5字节时,尝试读取0x25805字节。

加密时跳过文件头前5字节。

对剩余部分0x25800内容加密完成后追加包含两个部分的硬编码固定字串信息,第二部分为固定{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}

加密白名单目录与早期样本相比并没有变化。

病毒加密时通过内部创建的线程回调尝试从服务器拉取加密Key预备数据。
(接口如下:hxxp://root.ug/ASdgdrega73264iUKdu7364ykdhfjgdftest/Asduheweyfguyfgkhjasdfasdf/get.php?pid=(MAC-HASH))
密钥生成流程主要有以下步骤:
1.尝试在线访问病毒服务接口获取随机生成的密钥预备数据
2.当病毒服务接口返回数据成功,则提取line1-line2标签内字段作为密钥预备数据,剩余部分作为勒索ID号
3.当病毒服务器失活情况则使用离线的密钥预备数据
4.对密钥预备数据计算得到md5
5.读取文件头5字节的原始数据
6.文件头5字节数据拼接步骤4中计算得到的md5
7.对步骤6中最终得到的缓冲区计算md5即为文件加密Key
病毒访问服务器Key生成接口获取加密Key预备数据。

通过分析的历史病毒版本样本可知当Key生成接口存活时,返回以下格式数据。

病毒通过会对服务器返回结果进行查分解析(解析标签line1-line2内为Key预备数据,剩余部分作为文件末尾追加数据的第一部分和勒索说明文档中的用户ID)

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载