勒索病毒Ouroboros詳細分析
安全專家分析發現,該勒索病毒源文件并未加殼:
使用IDA打開此文件,加載符號文件時發現病毒作者編譯程序留下的符號文件位置,以此確定此勒索病毒為Ouroboros:
初步分析,該勒索病毒中有大量的反調試函數,或者通過函數中包含return函數的形式增加病毒分析難度:
進入到程序關鍵函數,該勒索病毒會調用PowerShell程序,通過vssadmin delete shadows /all /y命令刪除卷影副本:
然后加載病毒中需要的信息,如郵箱信息,生成ID:
在地址40A000的位置,安全專家發現勒索病毒會進行進程遍歷,關閉與數據庫相關的進程:
該病毒使用了SFML(Simple and Fast Multimedia Library)網站的一個資源:http[:]//www[.]sfml-dev[.]org/ip-provider.php
訪問此網址后,可以獲取到訪問者的公網IP地址(圖中紅框位置為get請求包內容):
然而在此勒索病毒中,此網站成了用來獲取受害者IP的工具(為了正常分析,我在本地搭建了一個web,通過hosts將sfml-dev[.]org指向本地,圖中地址為本地web環境偽造的響應地址):
該病毒會嘗試建立與主機176.31.68.30的連接,等到程序收集了IP、ID、磁盤使用情況和key的信息后,一并發送給主機176.31.68.30,并且等待返回包。
該病毒不會在主線程中直接進行加密操作,而是將加密邏輯的函數地址作為參數傳遞給新創建的線程,新線程中獲取到對應參數,再進行跳轉執行。加密邏輯會遍歷磁盤上的文件夾,檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合條件,避免對這些文件或者目錄下的文件進行加密操作
否則其會讀取文件內容,開始在內存中對文件內容進行加密:
文件內容加密完成后,其會創建以下后綴的文件:[ID=十位隨機字符串][[email protected]].Lazarus
然后,其將加密內容寫入創建的帶后綴的文件中,隨后刪除未被加密的源文件:
完成勒索后,釋放勒索信息的文件Read-Me-Now.txt,文件內容如下:
普通勒索病毒到這里可能就已經完成了所有邏輯,但是安全專家做了靜態分析后發現,此病毒還會觸發ftp連接的操作,從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,啟動新的進程來執行此文件:
安全專家對下載的Uiapp.exe文件進行了簡單的分析,發現此程序沒有明顯的惡意行為,僅僅只是為了更加醒目的顯示勒索信息:
雙擊執行后,桌面會彈出如下的勒索信息界面:
安全專家還在176.31.68.30的ftp中發現了另一個exe文件:crypt.exe(該文件被檢測為Ransom.Win32.OUROBOROS.AA),依據文件名安全專家懷疑該文件是此次勒索病毒最初的來源,所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對比,發現并不一致:
但是經過進一步的分析發現,兩者代碼塊中的內容幾乎一致,僅僅只是編譯時間上的不同,crypt.exe的文件編譯時間較新,據此安全專家懷疑Ouroboros勒索病毒正在持續更新中,未來亞信安全會密切關注。
亞信安全教你如何防范
· 不要點擊來源不明的郵件以及附件;
· 不要點擊來源不明的郵件中包含的鏈接;
· 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
· 打開系統自動更新,并檢測更新進行安裝;
· 盡量關閉不必要的文件共享;
· 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。
亞信安全產品解決方案
亞信安全病毒碼版本15.329.60,云病毒碼版本15.329.71,全球碼版本15.329.00已經可以檢測,請用戶及時升級病毒碼版本。
IOCs
MD5:
87283fcc4ac3fce09faccb75e945364c
e3caef2e2bdc4b08d625d4845f3205b6
京公網安備 11010502049343號