国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

栏目: 编程工具 · 发布时间: 5年前

内容简介:国外安全研究员在5月21日在网上爆光了一款利用RIGEK漏洞利用工具包传播的新型勒索病毒。如下所示:

*本文作者:熊猫正正,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

一、事件背景

国外安全研究员在5月21日在网上爆光了一款利用RIGEK漏洞利用 工具 包传播的新型勒索病毒。

如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

这款勒索病毒同样修改了桌面的背景,同之前流行的GandCrab和Sodinokibi勒索病毒类似,RIGEK漏洞工具包也经常被利用来传播各种勒索和挖矿病毒,之前已经有不少报道利用RIGEK漏洞工具包传播恶意软件的报告,此次RIGEK被利用传播这款新型的勒索病毒,经过分析这款勒索病毒避开了Russian等地区的主机,笔者分析过大量的勒索病毒样本,不少新型的或流行的勒索病毒都有此操作,猜测:是不是由于前几年杀毒软件的生意不好做,卡巴斯基的安全老毛子们都转搞黑产了?导致近几年做挖矿和勒索的黑产们越来越多,越来越流行,今年针对企业的勒索病毒攻击也是越来越多,之前有报道称在第一季度针对企业的勒索病毒攻击增长了500%,勒索依然是黑产们来钱最快最暴利的手段之一,而且大部分企业中了勒索之后,都选择交钱解决,有些大企业中了勒索,甚至不会公开去找安全公司解决方案,偷偷交钱解密,导致针对企业的勒索攻击越来越频繁,每天都有新的勒索病毒或变种出现……

样本下载地址: https://app.any.run/tasks/701839e5-1a81-47ab-98d2-0dd5ae14ae53/

有兴趣的朋友可以下载样本进行分析,分析这款勒索病毒还是很有趣的……笔者预测马上这款新型的勒索病毒就会在国内流行……请各大安全厂商以及各大企业做好相应的应对防护措施!

二、样本简介

勒索病毒运行之后,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

勒索病毒加密文件,加密文件后缀名为四位大写字母,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

三、详细分析

1.勒索病毒母体采用了高强度的混淆免杀技术,勒索病毒的核心被一层“厚厚的”外壳保护,(具体的跟踪调试过程我就省略了,有不会的可以私聊我),解密出勒索病毒核心代码,核心代码,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

2.获取操作系统语言版本,如果操作系统版本为419(LANG_RUSSIAN 俄语) 422(LANG_UKRAINIAN 乌克兰) 423(LANG_BELARUSIAN 白俄罗斯) 43F(LANG_KAZAK 哈萨克族)等地区,则不执行相应的勒索加密过程,退出程序,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

3.获取主机的CPUID,如下所示:

4.生成加密文件后的加密后缀,如下所示:

生成的加密后缀为:ELSH,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

5.判断操作系统的版本,进程提权,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

然后创建线程,删除磁盘卷影,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

6.在%APPDATA%目录下生成加密的key文件encrypted_key.bin,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

生成Key文件的过程,先解密出Base64硬编码的RSA公钥信息,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

然后导入RSA公钥,再加密生成的随机密钥,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

再使用Base64算法进行加密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

再把Base64加密生成的密钥信息,写入到key文件中,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

生成的key文件,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

7.遍历共享目录文件,然后加密文件,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

8.遍历磁盘文件,然后加密文件,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

9.在每个目录下生成勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

10.遍历磁盘目录,如果目录中包含,如下字符串目录,则不进行加密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

相应的目录字符串列表,如下所示:

:\\$Recycle.Bin
:\\ProgramData
:\\Users\\All Users
:\\Program Files
:\\Local Settings
:\\Windows
:\\Boot
:\\System Volume Information
:\\Recovery
AppData

如果文件名中包含“加密后的文件后缀”或者包含“# DECRYPT MY FILES #”,则不进行加密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

11.如果遍历到相应的文件符合要求,则加密文件,加密后的文件后缀名为之前生成的后缀名,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

12.生成勒索桌面背景,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

修改桌面背景,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

然后在TEMP目录下生成勒索信息桌面背景图片desk.bmp,写入相应的数据,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

最后退出程序。

四、IOC

MD5:

6D21C5C3BCFF6076179BCCD9EA6D1464

(在文章审核期间,Emsisoft竟然在5月23号放出来解密工具,Emsisoft之前也放出了不少的勒索解密工具,真是造福全球,国内用户如果有中此勒索的,可以下载解密)

五、解密工具

Emsisoft releases a free decrypter for the GetCrypt Ransomware

下载地址: https://www.emsisoft.com/decrypter/getcrypt

经过笔者测试,可以解密,如下所示:

国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)

*本文作者:熊猫正正,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Head First Python

Head First Python

Paul Barry / O'Reilly Media / 2010-11-30 / USD 49.99

Are you keen to add Python to your programming skills? Learn quickly and have some fun at the same time with Head First Python. This book takes you beyond typical how-to manuals with engaging images, ......一起来看看 《Head First Python》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

URL 编码/解码
URL 编码/解码

URL 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试