【亞信安全】-【2019年9月2日】近日,亞信安全截獲全新勒索病毒Ouroboros,此勒索病毒在加密文件完成後會添加.[ID=十位隨機字符][Mail=unlockme123@protonmail.com].Lazarus的後綴,亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。隨著深入的分析,安全專家發現了黑客使用的FTP伺服器,伺服器上還存有Ouroboros勒索病毒變種文件,安全專家推測該勒索病毒目前正處在持續更新中,亞信安全將會持續關注該勒索病毒的動態。
勒索病毒Ouroboros詳細分析
安全專家分析發現,該勒索病毒源文件並未加殼:
使用IDA打開此文件,加載符號文件時發現病毒作者編譯程序留下的符號文件位置,以此確定此勒索病毒為Ouroboros:
初步分析,該勒索病毒中有大量的反調試函數,或者通過函數中包含return函數的形式增加病毒分析難度:
進入到程序關鍵函數,該勒索病毒會調用PowerShell程序,通過vssadmin delete shadows /all /y命令刪除卷影副本:
然後加載病毒中需要的信息,如郵箱信息,生成ID:
在地址40A000的位置,安全專家發現勒索病毒會進行進程遍歷,關閉與資料庫相關的進程:
該病毒使用了SFML(Simple and Fast Multimedia Library)網站的一個資源:http[:]//www[.]sfml-dev[.]org/ip-provider.php
訪問此網址後,可以獲取到訪問者的公網IP位址(圖中紅框位置為get請求包內容):
然而在此勒索病毒中,此網站成了用來獲取受害者IP的工具(為了正常分析,我在本地搭建了一個web,通過hosts將sfml-dev[.]org指向本地,圖中地址為本地web環境偽造的響應地址):
該病毒會嘗試建立與主機176.31.68.30的連接,等到程序收集了IP、ID、磁碟使用情況和key的信息後,一併發送給主機176.31.68.30,並且等待返回包。
該病毒不會在主線程中直接進行加密操作,而是將加密邏輯的函數地址作為參數傳遞給新創建的線程,新線程中獲取到對應參數,再進行跳轉執行。加密邏輯會遍歷磁碟上的文件夾,檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合條件,避免對這些文件或者目錄下的文件進行加密操作
否則其會讀取文件內容,開始在內存中對文件內容進行加密:
文件內容加密完成後,其會創建以下後綴的文件:[ID=十位隨機字符串][Mail=unlockme123@protonmail.com].Lazarus
然後,其將加密內容寫入創建的帶後綴的文件中,隨後刪除未被加密的源文件:
完成勒索後,釋放勒索信息的文件Read-Me-Now.txt,文件內容如下:
普通勒索病毒到這裡可能就已經完成了所有邏輯,但是安全專家做了靜態分析後發現,此病毒還會觸發ftp連接的操作,從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此後,啟動新的進程來執行此文件:
安全專家對下載的Uiapp.exe文件進行了簡單的分析,發現此程序沒有明顯的惡意行為,僅僅只是為了更加醒目的顯示勒索信息:
雙擊執行後,桌面會彈出如下的勒索信息界面:
安全專家還在176.31.68.30的ftp中發現了另一個exe文件:crypt.exe(該文件被檢測為Ransom.Win32.OUROBOROS.AA),依據文件名安全專家懷疑該文件是此次勒索病毒最初的來源,所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對比,發現並不一致:
但是經過進一步的分析發現,兩者代碼塊中的內容幾乎一致,僅僅只是編譯時間上的不同,crypt.exe的文件編譯時間較新,據此安全專家懷疑Ouroboros勒索病毒正在持續更新中,未來亞信安全會密切關注。
亞信安全教你如何防範
不要點擊來源不明的郵件以及附件;不要點擊來源不明的郵件中包含的連結;採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;打開系統自動更新,並檢測更新進行安裝;儘量關閉不必要的文件共享;請注意備份重要文檔。備份的最佳做法是採取3-2-1規則,即至少做三個副本,用兩種不同格式保存,並將副本放在異地存儲。
亞信安全產品解決方案
亞信安全病毒碼版本15.329.60,雲病毒碼版本15.329.71,全球碼版本15.329.00已經可以檢測,請用戶及時升級病毒碼版本。
IOCs
MD5:
87283fcc4ac3fce09faccb75e945364c
e3caef2e2bdc4b08d625d4845f3205b6