内容简介:最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本,编译时间较新,加密后的文件后缀名与之前发现的一款变种一样,同样以.weapologize结尾,样本采用RSA2048+AES加密算法进行加密,加密后的文件无法解密。SamSam勒索病毒作为最活跃的勒索病毒之一,在2015-2018年期间,造成了至少3000万美元的社会损失,据调查这款勒索软件至少勒索了价值一千万美元以上的比特币,此前SamSam勒索病毒的两位作者已经被FBI指控,分别为现居住在伊朗的27岁的Mohammad Mehdi Sha
一、样本简介
最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本,编译时间较新,加密后的文件后缀名与之前发现的一款变种一样,同样以.weapologize结尾,样本采用RSA2048+AES加密算法进行加密,加密后的文件无法解密。
SamSam勒索病毒作为最活跃的勒索病毒之一,在2015-2018年期间,造成了至少3000万美元的社会损失,据调查这款勒索软件至少勒索了价值一千万美元以上的比特币,此前SamSam勒索病毒的两位作者已经被FBI指控,分别为现居住在伊朗的27岁的Mohammad Mehdi Shah Mansour和34岁的Faramarz Shahi Savandi,如下所示:
FBT公布了两个BTC钱包地址,如下所示:
深信服EDR安全团队一直在持续关注并跟踪此勒索病毒家族,之前已发布两次相关的预警分析报告:
·SamSam勒索病毒变种预警
https://mp.weixin.qq.com/s/e8a2oc4R4B_CzTPrp64TUQ
· 预警:SamSam勒索病毒最新变种来袭
https://mp.weixin.qq.com/s/2a9Jj63H9nr-B2AwhwadLg
二、详细分析
1.样本采用NET语言进行编写,如下所示:
查看样本的编译时间,为2018年12月11号,如下所示:
2.传入相应的三个参数,如果没有参数,则直接退出程序,如下所示:
3.解密生成勒索相关信息,如下所示:
通过AES算法进行解密,如下所示:
4.在当前目录下读取存放RSA公钥Key的*.keyxml配置文件,如下所示:
5.遍历磁盘文件,如下所示:
比较获取到的磁盘文件的文件名,如下所示:
如果文件目录或文件扩展名包含以下文件名或目录,则不进行加密操作,相应的文件名和目录,如下所示:
文件后缀名为:
.weapologize、.search-ms、.exe、.msi、.lnk、.wim、.scf、.ini、.sys、.dll
文件名为:
SORRY-FOR-FILES.html、g04inst.bat、desktop.ini、ntuser.dat
目录包含:
c:\\ProgramData、c:\\windows、c:\\winnt、microsoft\\windows、appdata、 Reference assemblies\\microsoft、recycle.bin、c:\\users\\all users、 c:\\documents and settings\\all users、c:\\boot、c:\\users\\default
6.判断磁盘文件后缀名,如果在加密后缀文件名列表中,则进行后面的加密操作,如下所示:
一共有330个需要加密的文件的后缀名,如下所示:
".vb"、".asmx"、".config"、".3dm"、".3ds"、".3fr"、".3g2"、".3gp"、".3pr"、".7z"、".ab4"、".accdb"、".accde"、".accdr"、".accdt"、".ach"、".acr"、".act"、".adb"".ads"、".agdl"、".ai"、".ait"、".al"、".apj"、".arw"、".asf"、".asm"、".asp"、".aspx"、".asx"、".avi"、".awg"、".back"、".backup"、".backupdb"、".bak"、".lua"".m"、".m4v"、".max"、".mdb"、".mdc"、".mdf"、".mef"、".mfw"、".mmw"、".moneywell"、".mos"、".mov"、".mp3"、".mp4"、".mpg"、".mrw"、".msg"、".myd"、".nd"、".ndd"".nef"、".nk2"、".nop"、".nrw"、".ns2"、".ns3"、".ns4"、".nsd"、".nsf"、".nsg"、".nsh"、".nwb"、".nx2"、".nxl"、".nyf"、".tif"、".tlg"、".txt"、".vob"、".wallet"".war"、".wav"、".wb2"、".wmv"、".wpd"、".wps"、".x11"、".x3f"、".xis"、".xla"、".xlam"、".xlk"、".xlm"、".xlr"、".xls"、".xlsb"、".xlsm"、".xlsx"、".xlt"、".xltm"、".xltx"、".xlw" ".xml"、".ycbcra"、".yuv"、".zip"、".sqlite"、".sqlite3"、".sqlitedb"、".sr2"、".srf"、".srt"、".srw"、".st4"、".st5"、".st6"、".st7"、".st8"、".std"、".sti" ".stw"、".stx"、".svg"、".swf"、".sxc"、".sxd"、".sxg"、".sxi"、".sxm"、".sxw"、".tex"、".tga"、".thm"、".tib"、".py"、".qba"、".qbb"、".qbm"、".qbr"、".qbw"、".qbx"、".qby"、".r3d"、".raf"、".rar"、".rat"、".raw"、".rdb"、".rm"、".rtf"、".rw2"、".rwl"、".rwz"、".s3db"、".sas7bdat"、".say"、".sd0"、".sda"、".sdf"、".sldm"、".sldx"、".sql"、".pdd"、".pdf"、".pef"、".pem"、".pfx"、".php"、".php5"、".phtml"、".pl"、".plc"、".png"、".pot"、".potm"、".potx"、".ppam"、".pps"、".ppsm"、".ppsx"、".ppt"、".pptm"、".pptx"、".prf"、".ps"、".psafe3"、".psd"、".pspimage"、".pst"、".ptx"、".oab"、".obj"、".odb"、".odc"、".odf"、".odg"、".odm"、".odp"、".ods"、".odt"、".oil"、".orf"、".ost"、".otg"、".oth"、".otp"、".ots"、".ott"、".p12"、".p7b"、".p7c"、".pab"、".pages"、".pas"、".pat"、".pbl"、".pcd"、".pct"、".pdb"、".gray"、".grey"、".gry"、".h"、".hbk"、".hpp"、".htm"、".html"、".ibank"、".ibd"、".ibz"、".idx"、".iif"、".iiq"、".incpas"、".indd"、".jar"、".java"、".jpe"、".jpeg"、".jpg"、".jsp"、".kbx"、".kc2"、".kdbx"、".kdc"、".key"、".kpdx"、".doc"、".docm"、".docx"、".dot"、".dotm"、".dotx"、".drf"、".drw"、".dtd"、".dwg"、".dxb"、".dxf"、".dxg"、".eml"、".eps"、".erbsql"、".erf"、".exf"、".fdb"、".ffd"、".fff"、".fh"、".fhd"、".fla"、".flac"、".flv"、".fmb"、".fpx"、".fxg"、".cpp"、".cr2"、".craw"、".crt"、".crw"、".cs"、".csh"、".csl"、".csv"、".dac"、".bank"、".bay"、".bdb"、".bgt"、".bik"、".bkf"、".bkp"、".blend"、".bpw"、".c"、".cdf"、".cdr"、".cdr3"、".cdr4"、".cdr5"、".cdr6"、".cdrw"、".cdx"、".ce1"、".ce2"、".cer"、".cfp"、".cgm"、".cib"、".class"、".cls"、".cmt"、".cpi"、".ddoc"、".ddrw"、".dds"、".der"、".des"、".design"、".dgc"、".djvu"、".db"、".db-journal"、".db3"、".dcr"、".dcs"、".ddd"、".dbf"、".dbx"、".dc2"、".pbl"
两个需要加密的数据库后缀名 sql 、mdf,如下所示:
7.加密文件,生成.weapologize结尾的加密文件,如下所示:
生成后的加密文件文件名,如下所示:
利用生成的AES的key和iv加密文件,如下所示:
同时使用RAS公钥加密的AES的key和iv等信息并写入到文件中,如下所示:
RSA加密过程,如下所示:
8.生成十个勒索信息超文本文件[0000-0009]-SORRY-FOR-FILES.html,同时删除原文件,如下所示:
生成的勒索信息超文本文件,如下所示:
文件内容如下所示:
红框内容中的为之前传入的三个参数,相应的BTC钱包地址:
1HbJu2kL4xDNK1L9YUDkJnqh3yiC119YM2
三、解决方案
深信服EDR安全团队提醒广大用户:
1.不要点击来源不明的邮件附件,不从不明网站下载软件。
2.及时给主机打补丁,修复相应的高危漏洞。
3.对重要的数据文件定期进行非本地备份。
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- cocosdx接bugly,上传符号表,有一部分内容解析出来了, 另一部分没有解析出来
- 培训班出来的怎么了?
- 明明存在,怎么搜索不出来呢?
- MyBatis 的插件对象如何创建出来的
- Vue项目build后,图片加载不出来
- 培训出来的程序员容易被代替吗?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。