Blackout勒索病毒再度來襲
一、樣本簡介
Blackout勒索病毒家族是一款使用.NET語言編寫的勒索病毒,它會將原檔名加密為BASE64格式的加密後的檔名,首次發現是在2017年7月份左右,樣本使用了程式碼混淆的方式防止安全分析人員對樣本進行靜態分析,此次發現的Blackout勒索病毒樣本經過分析確認是V3.0版本的Blackout家族最新變種樣本,採用RSA+AES加密演算法對檔案進行加密,加密後的檔案無法解密還原。
二、詳細分析
1.樣本使用.NET語言進行編寫,如下所示:
2.反編譯NET程式,樣本經過了混淆處理,如下所示:
3.樣本去混淆,如下所示:
經過除錯發現此款Blackout勒索病毒是V3.0版本的最新變種樣本blut3,如下所示:
4.獲取磁碟驅動資訊,如下所示:
5.通過RNGCryptoServiceProvider生成隨機數,如下所示:
生成結果,如下所示:
6.獲取機器名,如下所示:
7.獲取使用者名稱,如下所示:
8.生成臨時備份檔案目錄,如下所示:
9.設定Form窗體的屬性,如下所示:
10.獲得需要加密的檔案的字尾名列表,如下所示:
相應的檔名字尾如下所示:
“.mdf”,”.db”,”.mdb”,”.sql”,”.pdb”,”.dsk”,”.fp3″,”.fdb”,”.accdb”,”.dbf”,”.crd”,”.db3″,”.dbk”,”.nsf”,”.gdb”,”.abs”,”.sdb”,”.sqlitedb”,”.edb”,”.sdf”,”.sqlite”,”.dbs”,”.cdb”,”.bib”,”.dbc”,”.usr”,”.dbt”,”.rsd”,”.myd”,”.pdm”,”.ndf”,”.ask”,”.udb”,”.ns2″,”.kdb”,”.ddl”,”.sqlite3″,”.odb”,”.ib”,”.db2″,”.rdb”,”.wdb”,”.tcx”,”.emd”,”.sbf”,”.accdr”,”.dta”,”.rpd”,”.btr”,”.vdb”,”.daf”,”.dbv”,”.fcd”,”.accde”,”.mrg”,”.nv2″,”.pan”,”.dnc”,”.dxl”,”.tdt”,”.accdc”,”.eco”,”.fmp”,”.vpd”,”.his”,”.fid”
11.獲取當前程序資訊,如下所示:
獲得當前程序名,如下所示:
12.獲取主機程序資訊,如下所示:
並判斷主機作業系統平臺,是否為XP,Win32NT,遠端主機等,如下所示:
13.判斷作業系統的語言版本包含如下字串,如下所示:
型別包含如下字串,如下所示:
14.遍歷相關程序,如下所示:
然後結束上面相關程序,如下所示:
相關程序列表,如下所示:
taskmgr、sqlagent、sqlbrowser、sqlservr、sqlwriter、oracle、ocssd、dbsnmp、 synctime、mydesktopqos、agntsvc.exeisqlplussvc、xfssvccon、mydesktopservice ocautoupds、agntsvc.exeagntsvc、agntsvc.exeencsvc、firefoxconfig、tbirdconfig ocomm、mysqld、sql、mysqld-nt、mysqld-opt、dbeng50、sqbcoreservice
15.拷貝自身到臨時目錄C:\Users\panda\AppData\Local\Temp\Adobe下,然後設定自啟動登錄檔項,如下所示:
拷貝到相應的目錄,如下所示:
16.生成RSA金鑰,如下所示:
生成的RSA金鑰,如下:
<RSAKeyValue><Modulus>gS1EQF1vkdTuplcqTNexJr+EgQa9g6tw7sSiirENylIC1YWaKWCf30pPPqkG3Djt7/gsnAbe3pJipn45QmiJk7zjytMuVi993nYV1wmy6Q9Y2hARIvmQdSPaPF83hHsZG8VQUj7zlhGkrYj4Kn+lG86x5lUlaT+3YnXnr0XqiV+JLDr7oZIZzDSIFgAFP6jy19x4lfkr8QJyisYPRh1SUSEyU8MBO9tcHLCMNtFUilio2gcZXup7nb1Kmq3mTupEHYVxhcSttOTJIJ6SDyzBGFQikp6Jbi8oNBmlVvltHnnQcCmmSHXonUKwMGhFIi2oIp8JGLRQXAOoP2bzs8If2Q==</Modulus><Exponent>AQAB</Exponent> </RSAKeyValue>
通過RSA金鑰對Key進行加密處理,如下所示:
生成256位的加密金鑰,如下所示:
金鑰如下所示:
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
把金鑰轉化為Base64字串,如下所示:
"XylHRUTr5UwlEH7cRoVIF4/yCelvnQDiKFeeV6cjPzfhqkj079xdMQBvdXUHrDhUdyEfMoWWweHFVyoWPCJ2WjkR/Pdq101I/qt+LoUeP79sveIR6Mbz6VJohaMTnBfsU8Zv31rv5Y7rqVAewGU9meYvUgAikAZjeKgTAqPwIscjDa0w/rNJcRh3ZMk3Bdy/UoC4mjSFM+zkIo1opKe+nOFxvlHZfUj+4+U2aP2ig9CtoexoCe4IN/jtCUtPbXRMzqtLDCTCIg/qZD8LQeNBZcwaTcA4c9ThYEX/uQdK8Ls8TXKedgdIS/hYtcgvZf4SLrLcahJyH6Y3tgJ1LnDZCw=="
17.遍歷磁碟,如下所示:
排除以下目錄下,相應的目錄列表,如下所示:
WINDOWS、RECYCLER、Program Files、Program Files(x86)、Windows、Recycle.Bin、RECYCLE.BIN、Recycler、TEMP、APPDATA、Temp、Appdata、ProgramData、Microsoft、Burn
18.加密相應的檔案,迴圈遍歷磁碟目錄下的子檔案,如下所示:
開啟單個檔案作為檔案資料流,如下所示:
讀取到的未加密的檔案,如下所示:
判斷檔案的字尾名是不是LNK字尾的,同時檔名字串是否包含README_,如下所示:
判斷原檔案的內容最後位元組是否包含###,如下所示:
獲取檔案資訊,如下所示:
讀取檔案內容,如下所示:
加密讀取到的檔案內容,如下所示:
相應的加密演算法,如下所示:
使用的加密演算法為AES+RSA金鑰的方式,如下所示:
將加密的資料,寫入到原檔案資料流中,如下所示:
然後關閉資料流檔案,把加密後的資料寫入到原檔案中,獲取原檔案的路徑,如下所示:
生成新的檔名轉化為Base64編碼,如下所示:
再將加密特徵字串寫入到檔案未尾,如下所示:
然後替換到原檔案,如下所示:
到此整個加密檔案的過程如上所示。
19.加密後的檔案,如下所示:
20.在每個加密檔案目錄下生成一個勒索資訊文字檔案README_[加密特徵數字].txt,勒索相關資訊,如下所示:
三、解決方案
深信服EDR產品能有效檢測及防禦此類勒索病毒家族樣本及其變種,如下所示:
深信服安全團隊再次提醒廣大使用者,勒索病毒以防為主,目前大部分勒索病毒加密後的檔案都無法解密,注意日常防範措施:
1.不要點選來源不明的郵件附件,不從不明網站下載軟體
2.及時給主機打補丁(永恆之藍漏洞補丁),修復相應的高危漏洞
3.對重要的資料檔案定期進行非本地備份
4.儘量關閉不必要的檔案共享許可權以及關閉不必要的埠,如:445,135,139,3389等
5.RDP遠端伺服器等連線儘量使用強密碼,不要使用弱密碼
6.安裝專業的終端安全防護軟體,為主機提供端點防護和病毒檢測清理功能
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM