初步分析勒索软件ZEPTO

*本文原创作者:langyajiekou,本文属FreeBuf原创奖励计划,未经许可禁止转载

前段时间突然收到一个客户的电话,报告说她的电脑出了问题,所有文件都无法打开了,据她们自己的IT人员发现所有文件都多了一个.zepto的扩展名。

我当时一听到就咯噔一声,糟了,中勒索软件了,zepto是个新的变种,隶属于Locky家族。说实话,最怕听到有客户机器感染此类勒索软件,基本没有办法可以修复,如果数据非常重要,而又没有恰当的备份,简直就是灾难级别的事故。没有办法,只好放下手中的工作立即赶过去协助处理。

一边赶路,一边通知客户立即断网,关机,虽然目前看来,所有的勒索软件暂时没有拥有蠕虫病毒的特性,但是不怕一万就怕万一,万一这个新的变种拥有了自我复制到其他机器的话那就大麻烦了,所以第一时间断网处理,至于关机,也是很有必要的,最大可能减少磁盘的读写,以及对磁盘扇区的覆盖(然并卵)。同时,也打开度娘搜搜相关资料,可惜度娘一如既往的给力,这命中率也是感人。

好吧,使用“zepto 勒索”才返回了一些关联结果,不过大都是无用的求救信息,参考参考咯。

赶到客户那里后,了解了一下情况,用户使用Outlook收到了一些邮件,有些是invoice,那么很明显的应该是其中某封发票的邮件有问题。

指导用户登录Webmail后,简短的进行了一些搜查,果然看到了一封可疑邮件,附件是invoice.zip,打开invoice.zip一看是一封invoice.pdf文件,熟悉的PDF图标非常可爱。查看用户文件夹属性,发现“隐藏已知类型文件”选项是启用的,取消后,发现invoice.pdf多了个wsf的尾巴。好吧,应该就是它了。

Zepto勒索软件沿用了它的先辈Locky家族的血统,使用了RSA-2048非对称加密算法,加密后添加.zepto到所属文件并改名成如下格式。生成_HELP_instructions.html文件修改重置你的桌面为勒索付款通知背景并打开图像阅读器显示勒索通知。

拿到WSF样本后,使用记事本打开,JS脚本已经被加密,

尝试使用几种decode解密失败后,费事麻烦,直接祭出加料的VirtualBox,这里并没有使用Vmware,主要是Lokcy家族使用了RDTSC反虚拟机技术,而这种技术对Vmware的杀伤力太大了,基本百发百中,而VirtualBox相对应而言稍微好了一点点。RDTSC反虚拟技术通过运行一段特定代码,然后比较这段代码在虚拟机和真实主机之中的相对运行时间,以此来判断是否处于虚拟机之中。这段代码我们可以通过RDTSC指令来实现,RDTSC指令是用于将计算机启动以来的CPU运行周期数存放到EDX:EAX里面,其中EDX是高位,而EAX是低位。下面我们以xchg ecx, eax 一句指令的运行时间为例,这段指令在我的真实主机windows 7系统上的运行时间为0000001E,如图6所示:

图6

而该指令在虚拟机WinXP下的运行时间为00000442,如图7所示:

图7

两者之间的运行时间明显差别很多,在虚拟机中的运行速度远不如真实主机的,一般情况下,当它的运行时间大于0xFF时,就可以确定它处于虚拟机之中了,因此不难写出检测程序,具体实现代码可以参考CSDN文章:

测试结果如图8所示:

图8

具体文章可以参考:虚拟机检测技术攻防(http://blog.csdn.net/whatday/article/details/10393325)

下一步我们需要在虚拟机中加载WSF文件,因为之前的WSF文件没有解码,所以我们需要祭起三面大旗,一面是ProcMon,一面是ProcessExplorer,还有一面是WireShark。

载入WSF文件不久后,Process Monitor中就可以看到WSF文件下载payload并创建新的进程执行该程序。

当下载的Payload进程创建开始执行后,立即在ProcessExplorer中Suspend掉它,然后我们就可以悠哉游哉的进行下一步分析了。

习惯的第一时间上传到VirusTotal查看结果,我们大360霍霍在列,扫不到的那种。。。

而“卡巴卡巴死机死机”确实还是比较给力。

既然如此,只能自己再看看了。

去到WireShark,轻松看到GET方法取Payload,IP地址也轻松得到了。

翻回之前打开的WSF文件,可以看到文件尾端有三个HTTP地址,在WSF尝试联系三个服务器后,下载了真正的病毒文件并加载执行。

为了追溯该病毒执行过程,我们回到ProcessExplorer,然后Resume该进程,我们接下来就可以看到该病毒调用了VSS组件,对系统中的VSS备份进行删除。

该病毒做完了坏坏的动作后,开始执行大扫荡计划,

然后开始做羞羞人的动作

做完后果断记得留点种,这点啥不得了啊,4个比特币,按照现在牌价,小20000块了,啧啧,真贵,跟台湾女神有得一拼了。

检查检查数据流,POST方法出来了,PHP的,这是要用菜刀的赶脚吗?

可惜也是加密的,据目测数据上传量不大,所以暂时不考虑数据泄密问题。

通过这次有组织,有计划的行动后,该病毒果断的自杀了,还留下了一封遗书。

总结:

简单的列下该勒索软件所用到的C&C地址,有兴趣的朋友可以去185.129.148.19看看能挖多少东西出来。

后记:

怎么防范勒索软件已经有很多人说了很多次了,这里就不再赘叙了,不过还是简单提下:

1. 使用组策略禁用压缩包中的exe,vbs,js,wsf,bat,cmd等文件的直接执行 2. 如果有条件,可以同样禁止%TEMP%\*.exe和%APPDATA%\*.exe的调用执行,关這条就可以干掉非常多的病毒了,不过执行须谨慎,有可能会阻止正规程序的运行。 3. 任何时候都不要轻易直接双击运行附件中的文件,尤其是奇怪内容的邮件 4. 针对企业用户,启用VSS并降权限至”Power User”,因为”Power User”在病毒执行后无权限去执行VSS Admin的动作,这样就可以在文件被删除后能有恢复的机会 5. 针对企业用户,尽量养成使用文件服务器或者云服务器中的习惯,而不要把文件保存在本地,毕竟正规企业一般都有文件备份服务

注:对于使用Symantec End Point的用户暂时不用担心这个病毒了,只要你的病毒库升级到了15thAug R18就可以了,其他大部分杀毒软件均可以检测到该病毒了。

*本文原创作者:langyajiekou,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

FIT 2016集锦 | 解锁iOS手势密码的正确姿势

刚刚过去的FreeBuf互联网安全创新大会(FIT)中,平安科技银河实验室安全研究员姜若芾带来的“解锁iOS手势密码”的议题尤为吸睛。 什么是手势密码? 手势密...

27380
来自专栏信安之路

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

10300
来自专栏FreeBuf

深度报告 | 揭秘朝鲜黑客组织Lazarus Group对加密货币的窃取手段

当前,世界各地安全公司、执法机关和情报机构都把Lazarus Group归因于朝鲜的国家支持黑客组织,随着Lazarus Group自身网络攻击工具的进化发展...

43090
来自专栏机器人网

【干货】低压电气元件全面解析

1 隔离开关 隔离开关:(我们所说的隔离开关,一般指的是高压隔离开关,即额定电压在1kv及其以上的隔离开关)高压开关电器中使用最多的一种电器,在电路中起隔离作用...

356130
来自专栏BestSDK

0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务...

15330
来自专栏FreeBuf

这个APT攻击与东南亚和中国南海问题相关?

最近,一个与东南亚和中国南海问题相关的APT攻击被发现,该APT攻击以包括美国在内的各国政府和公司为目标 。经安全专家分析,该APT攻击所使用的全部工具代码都是...

23070
来自专栏FreeBuf

Equation Group泄露文件分析

*本文原创作者:白泽安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载 从这几天网上公开的信息和材料分析,美国的NSA很可能已经被黑。 一个名为“Th...

229100
来自专栏FreeBuf

新手科普:浅谈家用路由器安全变迁

路由器是家庭网络的入口,在IoT浪潮下,路由器也起到了网络守护者的角色。正因为如此,这几年针对路由器的攻击也越来越多,本文就带大家细数这些年针对路由器的攻击。 ...

45460
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文地址:Creating a Simple Free Malware Analysis Environment

42660
来自专栏FreeBuf

让你家的楼宇门变聪明:基于树莓派实现任意终端控制楼宇门

原创作者:豆豆青春不喂狗 一、背景 寒冷冬天的早晨,你躺在被窝里,门铃响了,你需要立刻起床穿衣服,然后去开门。现在,树莓派能帮你获得一个从容穿衣的时间。 二、摘...

40690

扫码关注云+社区

领取腾讯云代金券