近日，亞信安全截獲全新勒索病毒Ouroboros，此勒索病毒在加密文件完成后會(huì)添加.[ID=十位隨機(jī)字符][Mail=unlockme123@protonmail.com].Lazarus的后綴，亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。隨著深入的分析，安全專家發(fā)現(xiàn)了黑客使用的FTP服務(wù)器，服務(wù)器上還存有Ouroboros勒索病毒變種文件，安全專家推測(cè)該勒索病毒目前正處在持續(xù)更新中，亞信安全將會(huì)持續(xù)關(guān)注該勒索病毒的動(dòng)態(tài)。
 
勒索病毒Ouroboros詳細(xì)分析
 
安全專家分析發(fā)現(xiàn)，該勒索病毒源文件并未加殼：
 

 
使用IDA打開此文件，加載符號(hào)文件時(shí)發(fā)現(xiàn)病毒作者編譯程序留下的符號(hào)文件位置，以此確定此勒索病毒為Ouroboros：

 

初步分析，該勒索病毒中有大量的反調(diào)試函數(shù)，或者通過(guò)函數(shù)中包含return函數(shù)的形式增加病毒分析難度：

 

進(jìn)入到程序關(guān)鍵函數(shù)，該勒索病毒會(huì)調(diào)用PowerShell程序，通過(guò)vssadmin delete shadows /all /y命令刪除卷影副本：

 

然后加載病毒中需要的信息，如郵箱信息，生成ID：

在地址40A000的位置，安全專家發(fā)現(xiàn)勒索病毒會(huì)進(jìn)行進(jìn)程遍歷，關(guān)閉與數(shù)據(jù)庫(kù)相關(guān)的進(jìn)程：
 

 

該病毒使用了SFML(Simple and Fast Multimedia Library)網(wǎng)站的一個(gè)資源：http[：]//www[.]sfml-dev[.]org/ip-provider.php

訪問(wèn)此網(wǎng)址后，可以獲取到訪問(wèn)者的公網(wǎng)IP地址(圖中紅框位置為get請(qǐng)求包內(nèi)容)：

 

然而在此勒索病毒中，此網(wǎng)站成了用來(lái)獲取受害者IP的工具(為了正常分析，我在本地搭建了一個(gè)web，通過(guò)hosts將sfml-dev[.]org指向本地，圖中地址為本地web環(huán)境偽造的響應(yīng)地址)：

 

該病毒會(huì)嘗試建立與主機(jī)176.31.68.30的連接，等到程序收集了IP、ID、磁盤使用情況和key的信息后，一并發(fā)送給主機(jī)176.31.68.30，并且等待返回包。

 

該病毒不會(huì)在主線程中直接進(jìn)行加密操作，而是將加密邏輯的函數(shù)地址作為參數(shù)傳遞給新創(chuàng)建的線程，新線程中獲取到對(duì)應(yīng)參數(shù)，再進(jìn)行跳轉(zhuǎn)執(zhí)行。加密邏輯會(huì)遍歷磁盤上的文件夾，檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符，如果符合條件，避免對(duì)這些文件或者目錄下的文件進(jìn)行加密操作

 

否則其會(huì)讀取文件內(nèi)容，開始在內(nèi)存中對(duì)文件內(nèi)容進(jìn)行加密：

 

文件內(nèi)容加密完成后，其會(huì)創(chuàng)建以下后綴的文件：[ID=十位隨機(jī)字符串][Mail=unlockme123@protonmail.com].Lazarus

然后，其將加密內(nèi)容寫入創(chuàng)建的帶后綴的文件中，隨后刪除未被加密的源文件：

 

完成勒索后，釋放勒索信息的文件Read-Me-Now.txt，文件內(nèi)容如下：

 

普通勒索病毒到這里可能就已經(jīng)完成了所有邏輯，但是安全專家做了靜態(tài)分析后發(fā)現(xiàn)，此病毒還會(huì)觸發(fā)ftp連接的操作，從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C：\\ProgramData\\uiapp.exe，此后，啟動(dòng)新的進(jìn)程來(lái)執(zhí)行此文件：

 

安全專家對(duì)下載的Uiapp.exe文件進(jìn)行了簡(jiǎn)單的分析，發(fā)現(xiàn)此程序沒(méi)有明顯的惡意行為，僅僅只是為了更加醒目的顯示勒索信息：

雙擊執(zhí)行后，桌面會(huì)彈出如下的勒索信息界面：

 

安全專家還在176.31.68.30的ftp中發(fā)現(xiàn)了另一個(gè)exe文件：crypt.exe(該文件被檢測(cè)為Ransom.Win32.OUROBOROS.AA)，依據(jù)文件名安全專家懷疑該文件是此次勒索病毒最初的來(lái)源，所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對(duì)比，發(fā)現(xiàn)并不一致：

 

但是經(jīng)過(guò)進(jìn)一步的分析發(fā)現(xiàn)，兩者代碼塊中的內(nèi)容幾乎一致，僅僅只是編譯時(shí)間上的不同，crypt.exe的文件編譯時(shí)間較新，據(jù)此安全專家懷疑Ouroboros勒索病毒正在持續(xù)更新中，未來(lái)亞信安全會(huì)密切關(guān)注。

 

亞信安全教你如何防范

• 不要點(diǎn)擊來(lái)源不明的郵件以及附件;

• 不要點(diǎn)擊來(lái)源不明的郵件中包含的鏈接;

• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼;

• 打開系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝;

• 盡量關(guān)閉不必要的文件共享;

• 請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

亞信安全產(chǎn)品解決方案

亞信安全病毒碼版本15.329.60，云病毒碼版本15.329.71，全球碼版本15.329.00已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。
IOCs
MD5：
87283fcc4ac3fce09faccb75e945364c
e3caef2e2bdc4b08d625d4845f3205b6

標(biāo)簽： 勒索病毒 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。