专栏首页FreeBuf初步分析勒索软件ZEPTO

初步分析勒索软件ZEPTO

*本文原创作者:langyajiekou,本文属FreeBuf原创奖励计划,未经许可禁止转载

前段时间突然收到一个客户的电话,报告说她的电脑出了问题,所有文件都无法打开了,据她们自己的IT人员发现所有文件都多了一个.zepto的扩展名。

我当时一听到就咯噔一声,糟了,中勒索软件了,zepto是个新的变种,隶属于Locky家族。说实话,最怕听到有客户机器感染此类勒索软件,基本没有办法可以修复,如果数据非常重要,而又没有恰当的备份,简直就是灾难级别的事故。没有办法,只好放下手中的工作立即赶过去协助处理。

一边赶路,一边通知客户立即断网,关机,虽然目前看来,所有的勒索软件暂时没有拥有蠕虫病毒的特性,但是不怕一万就怕万一,万一这个新的变种拥有了自我复制到其他机器的话那就大麻烦了,所以第一时间断网处理,至于关机,也是很有必要的,最大可能减少磁盘的读写,以及对磁盘扇区的覆盖(然并卵)。同时,也打开度娘搜搜相关资料,可惜度娘一如既往的给力,这命中率也是感人。

好吧,使用“zepto 勒索”才返回了一些关联结果,不过大都是无用的求救信息,参考参考咯。

赶到客户那里后,了解了一下情况,用户使用Outlook收到了一些邮件,有些是invoice,那么很明显的应该是其中某封发票的邮件有问题。

指导用户登录Webmail后,简短的进行了一些搜查,果然看到了一封可疑邮件,附件是invoice.zip,打开invoice.zip一看是一封invoice.pdf文件,熟悉的PDF图标非常可爱。查看用户文件夹属性,发现“隐藏已知类型文件”选项是启用的,取消后,发现invoice.pdf多了个wsf的尾巴。好吧,应该就是它了。

Zepto勒索软件沿用了它的先辈Locky家族的血统,使用了RSA-2048非对称加密算法,加密后添加.zepto到所属文件并改名成如下格式。生成_HELP_instructions.html文件修改重置你的桌面为勒索付款通知背景并打开图像阅读器显示勒索通知。

拿到WSF样本后,使用记事本打开,JS脚本已经被加密,

尝试使用几种decode解密失败后,费事麻烦,直接祭出加料的VirtualBox,这里并没有使用Vmware,主要是Lokcy家族使用了RDTSC反虚拟机技术,而这种技术对Vmware的杀伤力太大了,基本百发百中,而VirtualBox相对应而言稍微好了一点点。RDTSC反虚拟技术通过运行一段特定代码,然后比较这段代码在虚拟机和真实主机之中的相对运行时间,以此来判断是否处于虚拟机之中。这段代码我们可以通过RDTSC指令来实现,RDTSC指令是用于将计算机启动以来的CPU运行周期数存放到EDX:EAX里面,其中EDX是高位,而EAX是低位。下面我们以xchg ecx, eax 一句指令的运行时间为例,这段指令在我的真实主机windows 7系统上的运行时间为0000001E,如图6所示:

图6

而该指令在虚拟机WinXP下的运行时间为00000442,如图7所示:

图7

两者之间的运行时间明显差别很多,在虚拟机中的运行速度远不如真实主机的,一般情况下,当它的运行时间大于0xFF时,就可以确定它处于虚拟机之中了,因此不难写出检测程序,具体实现代码可以参考CSDN文章:

测试结果如图8所示:

图8

具体文章可以参考:虚拟机检测技术攻防(http://blog.csdn.net/whatday/article/details/10393325)

下一步我们需要在虚拟机中加载WSF文件,因为之前的WSF文件没有解码,所以我们需要祭起三面大旗,一面是ProcMon,一面是ProcessExplorer,还有一面是WireShark。

载入WSF文件不久后,Process Monitor中就可以看到WSF文件下载payload并创建新的进程执行该程序。

当下载的Payload进程创建开始执行后,立即在ProcessExplorer中Suspend掉它,然后我们就可以悠哉游哉的进行下一步分析了。

习惯的第一时间上传到VirusTotal查看结果,我们大360霍霍在列,扫不到的那种。。。

而“卡巴卡巴死机死机”确实还是比较给力。

既然如此,只能自己再看看了。

去到WireShark,轻松看到GET方法取Payload,IP地址也轻松得到了。

翻回之前打开的WSF文件,可以看到文件尾端有三个HTTP地址,在WSF尝试联系三个服务器后,下载了真正的病毒文件并加载执行。

为了追溯该病毒执行过程,我们回到ProcessExplorer,然后Resume该进程,我们接下来就可以看到该病毒调用了VSS组件,对系统中的VSS备份进行删除。

该病毒做完了坏坏的动作后,开始执行大扫荡计划,

然后开始做羞羞人的动作

做完后果断记得留点种,这点啥不得了啊,4个比特币,按照现在牌价,小20000块了,啧啧,真贵,跟中国台湾女神有得一拼了。

检查检查数据流,POST方法出来了,PHP的,这是要用菜刀的赶脚吗?

可惜也是加密的,据目测数据上传量不大,所以暂时不考虑数据泄密问题。

通过这次有组织,有计划的行动后,该病毒果断的自杀了,还留下了一封遗书。

总结:

简单的列下该勒索软件所用到的C&C地址,有兴趣的朋友可以去185.129.148.19看看能挖多少东西出来。

后记:

怎么防范勒索软件已经有很多人说了很多次了,这里就不再赘叙了,不过还是简单提下:

1. 使用组策略禁用压缩包中的exe,vbs,js,wsf,bat,cmd等文件的直接执行 2. 如果有条件,可以同样禁止%TEMP%\*.exe和%APPDATA%\*.exe的调用执行,关這条就可以干掉非常多的病毒了,不过执行须谨慎,有可能会阻止正规程序的运行。 3. 任何时候都不要轻易直接双击运行附件中的文件,尤其是奇怪内容的邮件 4. 针对企业用户,启用VSS并降权限至”Power User”,因为”Power User”在病毒执行后无权限去执行VSS Admin的动作,这样就可以在文件被删除后能有恢复的机会 5. 针对企业用户,尽量养成使用文件服务器或者云服务器中的习惯,而不要把文件保存在本地,毕竟正规企业一般都有文件备份服务

注:对于使用Symantec End Point的用户暂时不用担心这个病毒了,只要你的病毒库升级到了15thAug R18就可以了,其他大部分杀毒软件均可以检测到该病毒了。

*本文原创作者:langyajiekou,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:langyajiekou

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-08-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 漏洞预警:“毒液(VENOM)”漏洞影响全球数百万虚拟机安全(附POC)

    CrowdStrike公司安全研究员称,一个名为“毒液(VENOM)”的QEMU漏洞使数以百万计的虚拟机处于网络攻击风险之中,该漏洞可以造成虚机逃逸,威胁到全球...

    FB客服
  • 勒索预警 | 放假之前,EvaRichter勒索病毒来袭

    目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,大部分勒索病毒是无法解密的,并且不断有新型的勒索病毒出现,各企业一定要保持高度的重视,...

    FB客服
  • 不能低估的“对手”:FONIX勒索软件及服务

    事实上,FONIX于 2020 年 7 月才首次出现在威胁环境中,与这种威胁相关的感染数量仍然很少,但绝不能被轻易低估。

    FB客服
  • 在Linux上用Eclipse写C++程序

    我厂很多同学使用VC在windows上编写linux的C/C++程序,然后再传的开发服务器上,然后再编译和调试。如果有修改,可能会直接用vi去改了,然后再把源代...

    韩伟
  • 北大最神博士论文:为什么学校打印店老板大多是湖南人?

    多媒体出版行业中,充满油墨芬芳的印刷总是长盛不衰。特别是在大学校园里,总是流传着打印店老板的各种神奇传说。

    华章科技
  • 【分享】做一个对自己有点要求的人

    大数据文摘
  • 在VMware虚拟机软件中安装的Ubuntu虚拟机的窗口不能自动调整大小的解决办法

    在 VMware虚拟机软件 中安装的 Ubuntu虚拟机 的窗口不能自动调整大小的解决办法:

    黑泽君
  • win7 安装 mac虚拟机

      一周前社团ios方向刚完成招新,图新鲜的我也试装了一下虚拟机。自己装的时候是按教程来的,很轻松就装成了。 ios的经理见我装的那么溜,就把几个需要装虚拟机的...

    用户1394570
  • SQL注入攻击之sqlmap

    sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,现在支持python3了。

    黑白天安全
  • SQL注入攻击之sqlmap

    sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,现在支持python3了。

    Gcow安全团队

扫码关注云+社区

领取腾讯云代金券