SamSam作者又出来浪了

栏目: 编程工具 · 发布时间: 5年前

内容简介:最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本,编译时间较新,加密后的文件后缀名与之前发现的一款变种一样,同样以.weapologize结尾,样本采用RSA2048+AES加密算法进行加密,加密后的文件无法解密。SamSam勒索病毒作为最活跃的勒索病毒之一,在2015-2018年期间,造成了至少3000万美元的社会损失,据调查这款勒索软件至少勒索了价值一千万美元以上的比特币,此前SamSam勒索病毒的两位作者已经被FBI指控,分别为现居住在伊朗的27岁的Mohammad Mehdi Sha

一、样本简介

最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本,编译时间较新,加密后的文件后缀名与之前发现的一款变种一样,同样以.weapologize结尾,样本采用RSA2048+AES加密算法进行加密,加密后的文件无法解密。

SamSam勒索病毒作为最活跃的勒索病毒之一,在2015-2018年期间,造成了至少3000万美元的社会损失,据调查这款勒索软件至少勒索了价值一千万美元以上的比特币,此前SamSam勒索病毒的两位作者已经被FBI指控,分别为现居住在伊朗的27岁的Mohammad Mehdi Shah Mansour和34岁的Faramarz Shahi Savandi,如下所示:

SamSam作者又出来浪了

FBT公布了两个BTC钱包地址,如下所示:

SamSam作者又出来浪了

SamSam作者又出来浪了

深信服EDR安全团队一直在持续关注并跟踪此勒索病毒家族,之前已发布两次相关的预警分析报告:

·SamSam勒索病毒变种预警

https://mp.weixin.qq.com/s/e8a2oc4R4B_CzTPrp64TUQ

· 预警:SamSam勒索病毒最新变种来袭

https://mp.weixin.qq.com/s/2a9Jj63H9nr-B2AwhwadLg

二、详细分析

1.样本采用NET语言进行编写,如下所示:

SamSam作者又出来浪了

查看样本的编译时间,为2018年12月11号,如下所示:

SamSam作者又出来浪了

2.传入相应的三个参数,如果没有参数,则直接退出程序,如下所示:

SamSam作者又出来浪了

3.解密生成勒索相关信息,如下所示:

SamSam作者又出来浪了

通过AES算法进行解密,如下所示:

SamSam作者又出来浪了

4.在当前目录下读取存放RSA公钥Key的*.keyxml配置文件,如下所示:

SamSam作者又出来浪了

5.遍历磁盘文件,如下所示:

SamSam作者又出来浪了

比较获取到的磁盘文件的文件名,如下所示:

SamSam作者又出来浪了

如果文件目录或文件扩展名包含以下文件名或目录,则不进行加密操作,相应的文件名和目录,如下所示:

文件后缀名为:

.weapologize、.search-ms、.exe、.msi、.lnk、.wim、.scf、.ini、.sys、.dll

文件名为:

SORRY-FOR-FILES.html、g04inst.bat、desktop.ini、ntuser.dat

目录包含:

c:\\ProgramData、c:\\windows、c:\\winnt、microsoft\\windows、appdata、
Reference assemblies\\microsoft、recycle.bin、c:\\users\\all users、
c:\\documents and settings\\all users、c:\\boot、c:\\users\\default

6.判断磁盘文件后缀名,如果在加密后缀文件名列表中,则进行后面的加密操作,如下所示:

SamSam作者又出来浪了

一共有330个需要加密的文件的后缀名,如下所示:

".vb"、".asmx"、".config"、".3dm"、".3ds"、".3fr"、".3g2"、".3gp"、".3pr"、".7z"、".ab4"、".accdb"、".accde"、".accdr"、".accdt"、".ach"、".acr"、".act"、".adb"".ads"、".agdl"、".ai"、".ait"、".al"、".apj"、".arw"、".asf"、".asm"、".asp"、".aspx"、".asx"、".avi"、".awg"、".back"、".backup"、".backupdb"、".bak"、".lua"".m"、".m4v"、".max"、".mdb"、".mdc"、".mdf"、".mef"、".mfw"、".mmw"、".moneywell"、".mos"、".mov"、".mp3"、".mp4"、".mpg"、".mrw"、".msg"、".myd"、".nd"、".ndd"".nef"、".nk2"、".nop"、".nrw"、".ns2"、".ns3"、".ns4"、".nsd"、".nsf"、".nsg"、".nsh"、".nwb"、".nx2"、".nxl"、".nyf"、".tif"、".tlg"、".txt"、".vob"、".wallet"".war"、".wav"、".wb2"、".wmv"、".wpd"、".wps"、".x11"、".x3f"、".xis"、".xla"、".xlam"、".xlk"、".xlm"、".xlr"、".xls"、".xlsb"、".xlsm"、".xlsx"、".xlt"、".xltm"、".xltx"、".xlw"
".xml"、".ycbcra"、".yuv"、".zip"、".sqlite"、".sqlite3"、".sqlitedb"、".sr2"、".srf"、".srt"、".srw"、".st4"、".st5"、".st6"、".st7"、".st8"、".std"、".sti"
".stw"、".stx"、".svg"、".swf"、".sxc"、".sxd"、".sxg"、".sxi"、".sxm"、".sxw"、".tex"、".tga"、".thm"、".tib"、".py"、".qba"、".qbb"、".qbm"、".qbr"、".qbw"、".qbx"、".qby"、".r3d"、".raf"、".rar"、".rat"、".raw"、".rdb"、".rm"、".rtf"、".rw2"、".rwl"、".rwz"、".s3db"、".sas7bdat"、".say"、".sd0"、".sda"、".sdf"、".sldm"、".sldx"、".sql"、".pdd"、".pdf"、".pef"、".pem"、".pfx"、".php"、".php5"、".phtml"、".pl"、".plc"、".png"、".pot"、".potm"、".potx"、".ppam"、".pps"、".ppsm"、".ppsx"、".ppt"、".pptm"、".pptx"、".prf"、".ps"、".psafe3"、".psd"、".pspimage"、".pst"、".ptx"、".oab"、".obj"、".odb"、".odc"、".odf"、".odg"、".odm"、".odp"、".ods"、".odt"、".oil"、".orf"、".ost"、".otg"、".oth"、".otp"、".ots"、".ott"、".p12"、".p7b"、".p7c"、".pab"、".pages"、".pas"、".pat"、".pbl"、".pcd"、".pct"、".pdb"、".gray"、".grey"、".gry"、".h"、".hbk"、".hpp"、".htm"、".html"、".ibank"、".ibd"、".ibz"、".idx"、".iif"、".iiq"、".incpas"、".indd"、".jar"、".java"、".jpe"、".jpeg"、".jpg"、".jsp"、".kbx"、".kc2"、".kdbx"、".kdc"、".key"、".kpdx"、".doc"、".docm"、".docx"、".dot"、".dotm"、".dotx"、".drf"、".drw"、".dtd"、".dwg"、".dxb"、".dxf"、".dxg"、".eml"、".eps"、".erbsql"、".erf"、".exf"、".fdb"、".ffd"、".fff"、".fh"、".fhd"、".fla"、".flac"、".flv"、".fmb"、".fpx"、".fxg"、".cpp"、".cr2"、".craw"、".crt"、".crw"、".cs"、".csh"、".csl"、".csv"、".dac"、".bank"、".bay"、".bdb"、".bgt"、".bik"、".bkf"、".bkp"、".blend"、".bpw"、".c"、".cdf"、".cdr"、".cdr3"、".cdr4"、".cdr5"、".cdr6"、".cdrw"、".cdx"、".ce1"、".ce2"、".cer"、".cfp"、".cgm"、".cib"、".class"、".cls"、".cmt"、".cpi"、".ddoc"、".ddrw"、".dds"、".der"、".des"、".design"、".dgc"、".djvu"、".db"、".db-journal"、".db3"、".dcr"、".dcs"、".ddd"、".dbf"、".dbx"、".dc2"、".pbl"

两个需要加密的数据库后缀名 sql 、mdf,如下所示:

SamSam作者又出来浪了

7.加密文件,生成.weapologize结尾的加密文件,如下所示:

SamSam作者又出来浪了

生成后的加密文件文件名,如下所示:

SamSam作者又出来浪了

利用生成的AES的key和iv加密文件,如下所示:

SamSam作者又出来浪了

同时使用RAS公钥加密的AES的key和iv等信息并写入到文件中,如下所示:

SamSam作者又出来浪了

RSA加密过程,如下所示:

SamSam作者又出来浪了

8.生成十个勒索信息超文本文件[0000-0009]-SORRY-FOR-FILES.html,同时删除原文件,如下所示:

SamSam作者又出来浪了

生成的勒索信息超文本文件,如下所示:

SamSam作者又出来浪了

文件内容如下所示:

SamSam作者又出来浪了

红框内容中的为之前传入的三个参数,相应的BTC钱包地址:

1HbJu2kL4xDNK1L9YUDkJnqh3yiC119YM2

三、解决方案

深信服EDR安全团队提醒广大用户:

1.不要点击来源不明的邮件附件,不从不明网站下载软件。

2.及时给主机打补丁,修复相应的高危漏洞。

3.对重要的数据文件定期进行非本地备份。

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Learn Python 3 the Hard Way

Learn Python 3 the Hard Way

Zed A. Shaw / Addison / 2017-7-7 / USD 30.74

You Will Learn Python 3! Zed Shaw has perfected the world’s best system for learning Python 3. Follow it and you will succeed—just like the millions of beginners Zed has taught to date! You bring t......一起来看看 《Learn Python 3 the Hard Way》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

随机密码生成器
随机密码生成器

多种字符组合密码

SHA 加密
SHA 加密

SHA 加密工具