警惕!你下载的软件可能携带STOP勒索病毒变种!

栏目: 编程工具 · 发布时间: 6年前

内容简介:近日,深信服EDR安全团队捕获到一起通过捆绑软件运行勒索病毒的事件。勒索病毒与正常的应用软件捆绑在一起运行,捆绑的勒索病毒为STOP勒索病毒的变种,加密后缀为.djvucexplorer.exe是被捆绑了恶意软件的安装包,使用Resource Hacker查看其资源,可以发现其中夹藏着两个PE文件。

近日,深信服EDR安全团队捕获到一起通过捆绑软件运行勒索病毒的事件。勒索病毒与正常的应用软件捆绑在一起运行,捆绑的勒索病毒为STOP勒索病毒的变种,加密后缀为.djvu

一、勒索病毒母体携带者

cexplorer.exe是被捆绑了恶意软件的安装包,使用Resource Hacker查看其资源,可以发现其中夹藏着两个PE文件。

警惕!你下载的软件可能携带STOP勒索病毒变种!

cexplorer.exe运行会将两个PE文件释放,如下图所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

警惕!你下载的软件可能携带STOP勒索病毒变种!

随后运行两个PE文件,如下图所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

C:\Users\weizhou\AppData\Roaming\cexplorer.exe运行,原来是个Chameleon Explorer的安装包。

警惕!你下载的软件可能携带STOP勒索病毒变种!

安装成功后,就能使用了,该软件是个文件系统管理软件。

警惕!你下载的软件可能携带STOP勒索病毒变种!

C:\Users\weizhou\AppData\Roaming\update.exe,就是勒索病毒体,运行后完成勒索。如下图:

警惕!你下载的软件可能携带STOP勒索病毒变种!

二、勒索病毒母体

1.勒索病毒母体是一个Loader加载器,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

2.通过调试,在内存中解密出PE,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

3.然后加载到00400000内存的位置,然后执行相应的PE代码,如下图所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

4.从内存中DUMP出完整的PE文件,是勒索病毒的主体模块,获取主机的地理位置,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

通过访问相应的网站,如果返回包含RU、BY、UA、AZ、AM、TJ、KZ、KG、UZ等国家代码的,则进行自删除操作,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

5.拷贝相应的程序到appdata\local目录下的随机目录,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后创建定时触发任务计划,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

相应的触发时间,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

相应的计划任务,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

6.查询自启动注册表项,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后设置相应的自启动项注册表项,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

7.获取进程运行的参数,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后设置相应的启动参数,启动进程,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

相应的代码,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

执行之后,再次判断程序运行的参数,通过相应的判断,调用参数,启动程序,进行勒索加密的过程,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

8.如果进程是按上面相应的参数运行的,父进程参数,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

则从内存中解密出相应的下载服务器地址列表,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

相应的恶意下载链接如下所示:

http://bana911.ru/1.exe$run

http://bana911.ru/2.exe$run

http://bana911.ru/updatewin.exe$run

http://bana911.ru/3.exe$run

分隔$run符号,得到相应的恶意程序下载地址,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后下载执行恶意程序,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

9.获取相应的MAC地址,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后生成MD5值,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后追加PID=HASH值方式上传MAC信息,返回相应的数据,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

相应的远程服务器网站如下:

http://bana911.ru/323232/get.php?pid=B0ED0332ED2154CB43506063A03AECD3

10.循环遍历磁盘目录,避开以下目录,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

相应的目录,如下所示:

C:\\Windows\\

C:\\Program Files (x86)\\Mozilla Firefox\\

C:\\Program Files (x86)\\Internet Explorer\\

C:\\Program Files (x86)\\Google\\

C:\\Program Files\\Mozilla Firefox\\

C:\\Program Files\\Internet Explorer\\

C:\\Program Files\\Google\\

D:\\Windows\\

D:\\Program Files (x86)\\Mozilla Firefox\\

D:\\Program Files (x86)\\Internet Explorer\\

D:\\Program Files (x86)\\Google\\

D:\\Program Files\\Mozilla Firefox\\

D:\\Program Files\\Internet Explorer\\

D:\\Program Files\\Google\\

遍历相应的目录文件,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

然后进行加密操作,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

整个加密过程,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

加密文件函数过程,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

11.加密后的文件,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

同时在相应的目录下生成_openme.txt的勒索信息文本文件,如下所示:

警惕!你下载的软件可能携带STOP勒索病毒变种!

三、1.exe

该模块通过禁用Windows Defender和任务管理器实现自保护和隐藏。

禁用Windows Defender:

警惕!你下载的软件可能携带STOP勒索病毒变种!

禁用任务管理器:

警惕!你下载的软件可能携带STOP勒索病毒变种!

四、2.exe

2. exe是一个hosts文件修改器,是为了将windows的各种更新站点,各种安全网站的站点的域名重定向127.0.0.1(localhost)

警惕!你下载的软件可能携带STOP勒索病毒变种!

警惕!你下载的软件可能携带STOP勒索病毒变种!

警惕!你下载的软件可能携带STOP勒索病毒变种!

被修改之前的hosts文件

警惕!你下载的软件可能携带STOP勒索病毒变种!

警惕!你下载的软件可能携带STOP勒索病毒变种!

五、3.exe

3.exe其实是一个压缩包,包含被修改的TeamViewer。修改后的TeamViewer运行无界面,攻击者可通过它控制受害者主机。

警惕!你下载的软件可能携带STOP勒索病毒变种!

六、updatewin.exe

为了防止加密过程中受害者发现异常并重启系统,该模块伪装成Windows update的界面,制造正在进行系统升级的假象,以迷惑受害者。

警惕!你下载的软件可能携带STOP勒索病毒变种!

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

警惕!你下载的软件可能携带STOP勒索病毒变种!

2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

警惕!你下载的软件可能携带STOP勒索病毒变种!

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

修改代码的艺术

修改代码的艺术

Michael Feathers / 刘未鹏 / 人民邮电出版社 / 2007-09-25 / 59.00元

我们都知道,即使是最训练有素的开发团队,也不能保证始终编写出清晰高效的代码。如果不积极地修改、挽救,随着时间流逝,所有软件都会不可避免地渐渐变得复杂、难以理解,最终腐化、变质。因此,理解并修改已经编写好的代码,是每一位程序员每天都要面对的工作,也是开发程序新特性的基础。然而,与开发新代码相比,修改代码更加令人生畏,而且长期以来缺乏文献和资料可供参考。 本书是继《重构》和《重构与模式》之后探讨......一起来看看 《修改代码的艺术》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具