最新传入国内的Virlock“敲诈者”病毒完整技术分析


发布人:admin分类:网络安全浏览量:32发布时间:2017-12-12

近日,360QVM发现一款名为VirLock的“敲诈者”病毒开始在国内出现,此病毒与刚传入中国的CTB-Locker“敲诈者”病毒如出一辙,均通过强锁电脑里的文档、图片等重要资料,借机敲诈用户赎金0.71比特币(约1000元人民币)。VirLock敲诈者病毒最早在国外流行,比CTB-Locker“敲诈者”病毒感染的文件类型更多,包括了常见的MP3和MPG等影音文件,这意味着受影响的用户范围会更大,传播也会更广。目前,360是全球唯一可以成功修复还原VirLock感染文件的安全软件。

360QVM团队第一时间对VirLock“敲诈者”病毒进行了技术分析:

VirLock详细分析报告:

近期360安全中心检测到大量文件被一种叫做VirLock的敲诈病毒感染病毒会全盘遍历硬盘中的可执行文件及文档、图片等文件,并将其加密,锁住用户的windows帐号,并弹框威胁用户付费解密文件。

此为360安全中心首次截获具有感染能力的敲诈病毒,传播能力较强,具有多态变形能力,危害极大,请用户提高警惕。

目前使用360全线产品可以完美修复系统中被感染的文件。

样本信息:

1.360云安全中心已捕获Virlock相关样本近8万个;‍‍‍‍‍‍
‍‍2.国外最早发现此病毒的为ESET(2014年12月)。目前,360是全球唯一可成功修复Virlock变种感染文件的安全软件。‍‍

病毒描述:

攻击行为一:感染用户数据文件及可执行文件

感染文件类型,包括但不限于:

被感染的文件与原文件图标一致,但是被感染文件是一个可执行病毒文件,结构大致如下:

病毒会遍历所有的磁盘,网络共享路径。加密感染之后,病毒会记录一个文件列表在%userprofile%\????.txt中(?为随机字母)如下图所示。

攻击行为二:加密用户登陆密码

加密当前用户账户,并创建一个新的账户:

用户重新登录时,进入的桌面环境为全新的用户环境,包括我的文档,桌面等文件路径均与之前的环境不同。

如图:用户感染此病毒之后,登录界面会多出一个用户(用户名随机),且都需要密码才可以进入。

攻击行为三:关闭系统安全功能

禁用UAC,使用户账户控制功能失效。

攻击行为四:实现自启动

实现自启动项:


会释放文件到%userprofile%中,创建随机文件夹,文件夹设为隐藏属性,以及随机文件名。

释放文件:


写入垃圾数据,长度0×200字节(以对抗杀软检测):

使用NTFS系统的权限特性,对文件夹进行锁定,用户无法打开,删除文件夹。

(注:XP Professional中,需要在文件夹选项中关闭“简单文件共享”,才可以看到安全选项卡,XP Home版无此功能。)


攻击行为五:隐藏病毒体文件

病毒会修改注册表,以隐藏文件扩展名及相关文件:

攻击行为六:弹出勒索提示

病毒全盘感染完毕之后,会弹出勒索提示框进行警告,病毒会勒索0.71 BTC(约合人民币1000元)。

如下图所示:


安全建议:

1.不要随意点击或运行未经过确认对方身份的邮件附件。特别注意的是.scr .exe 等可执行文件。
2.更新电脑中的安全软件,目前360系统急救箱可以检测并修复被感染文件,随后360全线安全产品将支持被感染文件修复。
3.选择单独硬盘对电脑中重要的数据资料进行日常备份,防止数据被加密等意外状况。

VirLock技术细节:

1.恢复原始文件:

由于病毒将原始数据包含在自身之中, 所以病毒首先需要将原始数据解密,然后执行之,然后运行,文件恢复的流程如下:


解密方式较为复杂,有三层解密。

第一层解密:

主要是为了解密第二层,解密算法为循环左移操作:

第二层解密:

其目的是为了解密第三层的解密代码,解密算法为异或操作。

第三层解密:

解密原始文件名,原始数据等关键数据。解密方式为异或与循环右移相结合。

如图:解密出来的原始文件名为2009 &10 015.jpg:


解密出来的原始数据:


2.代码对抗

(1)对抗虚拟机

病毒采用多态变形技术,从入口开始随机调用API,和虚拟机进行对抗,增加分析难度。


(2)对抗静态分析

病毒在解密之后,采用了大量成对的”XCHG EAX,EBX”,使代码易读性降低,增加分析难度:


(3)对抗动态分析

在运行的过程中,采用了大量的rdtsc进行时间判断,用于检测是否处于调试状态,如果调试则执行不同分支,增加调试复杂度。

(4)对抗手动清除

病毒会创建多个进程,且互相看护,如果其中任何一个进程结束,则会重新创建一个新的实例,死而复生,永无休止。

如图:框中的三个进程互为守护进程。

[作者/360安全卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21230406(PV) 页面执行时间:80.175(MS)
  • xml
  • 网站地图