前言
分析了一个复用7Zip套件来加密软件的勒索病毒
基本信息
| 勒索后缀 | .7zip | |
|---|---|---|
| 勒索提示文件名 | !!!READ_ME___YOUR_FILES_ENCRYPTED.txt | |
| 勒索提示内容 | !!! ALL YOUR FILES HAVE BEEN ENCRYPTED !!! All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment. To purchase your key and decrypt your files, please follow these steps: 1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page". 2. Visit the following pages with the Tor Browser: 7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion 3. Enter your Client Key: m0PUuk3XNGIhPDCS9kSi9dH7Keogt5xNO/hty5GE/ZuYvZvocF63a51uAKZEfWO6trilwpzlxaD3k5vagm4P1b2heEhoBSQpugPX+XFFBw5ZWqOG/pyR5DaqXf1D03y1eaIgmHIzotpTYjHEuuy4+4lYMOqzy+Acl+sF36iufRdk6i9FVEpb62Ms5TrNa3j9Sd7IM9Oa3ra4BaPClsEMhR0ABNsWOzAtOiku5d2bJpjQIzPqe5cPlK0rneFsC9x+So+ZmRolJlmARW2GRqKNE3xwunI5kpibTXBd5r7GVptJ3alxSxsiLqfLg5H18D/oUL7Hzl3z8XCCay1IjxBoWg== |
|
| 地址 | 7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion | |
| 勒索赎金 | 1比特币 | |
| md5 | f2915d38bc67e893f907970c5b1f3995 | |
| 文件名 | sys.jar |
样本如下:
https://s.threatbook.cn/report/file/e18697bc5963e5d75e99d9e8a77a4621338fcada89e0f003f9e7e09010239813
安全厂商查询结果
微步
截至到2022年6月11日微步依旧将此文件判别为白
我已经向微步提交相关报告,近期有可能会更改判别结果
threatbook.png
360
360.png
奇安信
qianxin.png
安恒
anheng.png
VT
image.png
image.png
火绒
huorong.png
多个安全厂商都未标识此文件为恶意,火绒安全也未识别出病毒,此勒索软件较为危险,预计此后会持续爆发。
软件分析
1、此勒索软件为Java语言编写
2、尝试加密如下后缀文件
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .sh .mp3 .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .ai .psd .nef .tiff .tif .cgm .raw .png .bmp .jpg .jpeg .vcd .backup .zip .rar .gz .tgz .tar .bak .tbk .bz2 .paq .arc .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .rdb .aspx .asax .ashx .properties .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc
- 3、有黑名单机制,会排除如下路径,可能是避免破坏计算机关键服务
blpattern.png
- 4、会杀掉服务器
mysql,redis进程
killprocess.png
- 5、调用
7z.dll和7z.exe文件执行加密
使用正常解压缩软件的DLL和EXE可能会绕过杀软,猜测这就是本次所以杀软均显示白的原因。
7z.png
- 6、攻击者使用
RSA公钥加密7zip的密钥
rsa.png
攻击者公钥为硬编码进文件
String publicKeyStr = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnDnFzpMR6+73LlheAV6akgJQem0d+VzVTZL91Yph6YlZ8U08uLwpAdDSXgZ4VfD6h/8XCFbjKzcM+1DXYpneCE0lY8A7KxbSJ7+BVaQMxmB7B3C6/9S4kTaspn4O5qi7gqHklKx8Jh3H9FcNkmfMNTBqC1y562SzImV+HJ0xjPaoJ9RtOWFvD4YsN5EudHGxQUG+Edh5ezSfZIcbg5j21ERpq0K9aMDk0qKktCrOrWF6BSarWHF7ESTsGJAtt3nJwzt2EZgCsdh8rgKjeFxh4ztwRgnCWakRwWqUWgqkdwFX7LSGVWetYgSIJSmIbt2ef5k0+r+3jWRWtJd2C/5fVQIDAQAB";
需要受害者提交赎金之后,勒索软件提供用RSA私钥解密的7zip密钥给受害者,用于文件解密,在不知道攻击者RSA私钥情况下无法解密。
-
7、第六点中所提到的
7zip密钥生成规则如下32位随机值(规则如下)+ ”|“ + uid + ”|“ + 开始时间/1000
clientkey1.png
genpwd.png
genuid.png
