国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

栏目: 编程工具 · 发布时间: 5年前

内容简介:国外安全研究员在5月21日在网上爆光了一款利用RIGEK漏洞利用工具包传播的新型勒索病毒。如下所示:

*本文作者:熊猫正正,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

一、事件背景

国外安全研究员在5月21日在网上爆光了一款利用RIGEK漏洞利用 工具 包传播的新型勒索病毒。

如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

这款勒索病毒同样修改了桌面的背景,同之前流行的GandCrab和Sodinokibi勒索病毒类似,RIGEK漏洞工具包也经常被利用来传播各种勒索和挖矿病毒,之前已经有不少报道利用RIGEK漏洞工具包传播恶意软件的报告,此次RIGEK被利用传播这款新型的勒索病毒,经过分析这款勒索病毒避开了Russian等地区的主机,笔者分析过大量的勒索病毒样本,不少新型的或流行的勒索病毒都有此操作,猜测:是不是由于前几年杀毒软件的生意不好做,卡巴斯基的安全老毛子们都转搞黑产了?导致近几年做挖矿和勒索的黑产们越来越多,越来越流行,今年针对企业的勒索病毒攻击也是越来越多,之前有报道称在第一季度针对企业的勒索病毒攻击增长了500%,勒索依然是黑产们来钱最快最暴利的手段之一,而且大部分企业中了勒索之后,都选择交钱解决,有些大企业中了勒索,甚至不会公开去找安全公司解决方案,偷偷交钱解密,导致针对企业的勒索攻击越来越频繁,每天都有新的勒索病毒或变种出现……

样本下载地址: https://app.any.run/tasks/701839e5-1a81-47ab-98d2-0dd5ae14ae53/

有兴趣的朋友可以下载样本进行分析,分析这款勒索病毒还是很有趣的……笔者预测马上这款新型的勒索病毒就会在国内流行……请各大安全厂商以及各大企业做好相应的应对防护措施!

二、样本简介

勒索病毒运行之后,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

勒索病毒加密文件,加密文件后缀名为四位大写字母,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

三、详细分析

1.勒索病毒母体采用了高强度的混淆免杀技术,勒索病毒的核心被一层“厚厚的”外壳保护,(具体的跟踪调试过程我就省略了,有不会的可以私聊我),解密出勒索病毒核心代码,核心代码,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

2.获取操作系统语言版本,如果操作系统版本为419(LANG_RUSSIAN 俄语) 422(LANG_UKRAINIAN 乌克兰) 423(LANG_BELARUSIAN 白俄罗斯) 43F(LANG_KAZAK 哈萨克族)等地区,则不执行相应的勒索加密过程,退出程序,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

3.获取主机的CPUID,如下所示:

4.生成加密文件后的加密后缀,如下所示:

生成的加密后缀为:ELSH,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

5.判断操作系统的版本,进程提权,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

然后创建线程,删除磁盘卷影,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

6.在%APPDATA%目录下生成加密的key文件encrypted_key.bin,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

生成Key文件的过程,先解密出Base64硬编码的RSA公钥信息,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

然后导入RSA公钥,再加密生成的随机密钥,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

再使用Base64算法进行加密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

再把Base64加密生成的密钥信息,写入到key文件中,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

生成的key文件,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

7.遍历共享目录文件,然后加密文件,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

8.遍历磁盘文件,然后加密文件,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

9.在每个目录下生成勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

10.遍历磁盘目录,如果目录中包含,如下字符串目录,则不进行加密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

相应的目录字符串列表,如下所示:

:\\$Recycle.Bin
:\\ProgramData
:\\Users\\All Users
:\\Program Files
:\\Local Settings
:\\Windows
:\\Boot
:\\System Volume Information
:\\Recovery
AppData

如果文件名中包含“加密后的文件后缀”或者包含“# DECRYPT MY FILES #”,则不进行加密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

11.如果遍历到相应的文件符合要求,则加密文件,加密后的文件后缀名为之前生成的后缀名,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

12.生成勒索桌面背景,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

修改桌面背景,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

然后在TEMP目录下生成勒索信息桌面背景图片desk.bmp,写入相应的数据,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

最后退出程序。

四、IOC

MD5:

6D21C5C3BCFF6076179BCCD9EA6D1464

(在文章审核期间,Emsisoft竟然在5月23号放出来解密工具,Emsisoft之前也放出了不少的勒索解密工具,真是造福全球,国内用户如果有中此勒索的,可以下载解密)

五、解密工具

Emsisoft releases a free decrypter for the GetCrypt Ransomware

下载地址: https://www.emsisoft.com/decrypter/getcrypt

经过笔者测试,可以解密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

*本文作者:熊猫正正,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

自制编译器

自制编译器

[日] 青木峰郎 / 严圣逸、绝云 / 人民邮电出版社 / 2016-6 / 99.00元

本书将带领读者从头开始制作一门语言的编译器。笔者特意为本书设计了CЬ语言,CЬ可以说是C语言的子集,实现了包括指针运算等在内的C语言的主要部分。本书所实现的编译器就是C Ь语言的编译器, 是实实在在的编译器,而非有诸多限制的玩具。另外,除编译器之外,本书对以编译器为中心的编程语言的运行环境,即编译器、汇编器、链接器、硬件、运行时环境等都有所提及,介绍了程序运行的所有环节。一起来看看 《自制编译器》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具