专栏首页FreeBuf能DDoS的勒索木马FireCrypt进一步分析

能DDoS的勒索木马FireCrypt进一步分析

近日,FreeBuf上对于一类FireCrypt木马做了相关的报道:流氓会武功:这款勒索软件不仅能勒索,还能DDoS。哈勃分析系统拿到了相关样本,并对其进行了分析。

经分析,该类样本通过木马生成器自定义生成,运行该样本会对特定文件类型进行AES加密,同时伴随着持续但微弱的DDoS行为(请求特定网站下载文件)。以下是详细的样本分析结果。

一.样本运行效果

该样本运行后会加密系统所有盘符下的特定文件类型的文件,加密后会在文件名后加上firecrypt后缀,如下图所示:

图1.加密后的文件

在加密结束后,样本会在桌面生成两个文件分别为xxxx-READ_ME.html和xxxx-filesencrypted.html,xxxx-READ_ME.html是加密后提示给受害用户的解密提示,xxxx-filesencrypted.html是当前受害者电脑所有被加密文件的路径位置信息,如下图所示:

图2 xxxx-READ_ME.html

图3 xxxx-filesencrypted.html

该解密提示界面警告受害者AES密钥的销毁时间,用户需要在密钥销毁之前向特定比特币地址支付500美元赎金以获得AES密钥和解密程序。木马会在每台被加密的机器上生成一个唯一的USER ID用于识别受害机器。

此外,在文件加密完成后,该木马会创建数个后台线程去固定的某个网站上下载文件到%Temp%目录下,如下图所示:

图4 木马文件下载

二.样本运行流程:

此木马是基于.NET环境开发,依赖.NET Framework 4.0及以上。通过reflector工具可以对木马进行反编译,从而分析出该木马大致运行流程如下:

图5 firecrypt木马运行流程

三.文件加密分析:

1.样本首先查找受害电脑的所有盘符:

图6 查找盘符

然后递归遍历所有系统盘符下的所有文件,查找符合如下后缀名的文件,将这些文件的路径信息加入%AppData%\SysWin32\files.txt,加密文件类型如下:

图7 加密文件类型

2.样本会产生一个32个字符的随机字符串,该随机字符串用于后续AES256密钥的生成:

其中随机数产生的算法如下:

3. AES256加密流程如下,Encrypt_Fun方法中调用的AES256_Encrypt为加密的主要函数:

AES256_Encrypt方法传入带加密的数据和用于加密的密码,此密码再与一些其它的参数生成真正的密钥,具体流程如下:

至此,文件完整的加密流程已经完结了。该样本在加密每个文件的时候都会产生一个32个字符的随机字符串,然后通过该随机字符串去生成AES加密密钥。

这样每次加密的密钥都是不同的,但是在整个加密流程前后并未发现木马通过网络将密钥发送给远端的服务器,一旦用户的电脑被此类木马感染后,即使向作者给出的比特币地址支付赎金,仍然无法获取需要解密的AES密钥。

四.木马的DDoS行为:

当加密行为完成后,样本将在后台创建多个线程:

在DownloadThread函数中会持续对www[.]pta[.]gov[.]pk/index[.]php发出请求,并将该页面下载到%temp%目录并存储:

当样本感染的机器足够多的时候,这种正常的Url请求就会变成DDoS攻击。

五.结束任务管理器:

除了以上的文件加密和DDoS行为,样本还会创建一个Timer,每隔500ms将“taskmgr”进程杀掉:

以此防止用户通过任务管理器发现木马进程,进而结束该木马进程。

六.木马生成器与变种:

此类通过生成器生成的木马样本,每次生成的样本的哈希值都会发生变化,可以通过不停变种绕过一些仅凭哈希值进行判定的防护措施。

不过,此木马并未采取强烈的混淆手段,大多数情况下仍然可以通过静态特征或者动态行为,识别该类生成器产生的木马。

*本文作者:腾讯电脑管家,转载请注明来自Freebuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:腾讯电脑管家

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-01-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 首个Linux勒索软件马失前蹄:加密存在漏洞可被人攻破

    在Windows里很早就有了ransomware(赎金勒索软件),直到Linux中的Linux.Encoder.1,也就是第一个linux勒索软件的出现。这款软...

    FB客服
  • 南海网络谍影 | F-Secure报告之木马NanHaiShu分析

    声明:本文为F-Secure报告翻译,文中及的观点立场不代表本网站观点立场。 ? 1. 前言 本报告描述了我们发现并命名的木马-NanHaiShu(NanH...

    FB客服
  • 小技巧:使用Cryptsetup加密U盘

    如今U盘的存储和数据传输能力已经非常强了,可以跨各类平台运行,存储空间甚至达到了256G,堪比过去普通硬盘的容量。这里,我们将向你展示如何加密U盘,妈妈再也不用...

    FB客服
  • 深入MongoDB4.2新特性:字段级加密

    作为使用过MySQL或者之前MongoDB数据库的同学,应该很容易理解,绝大部分的电商、银行、社交平台的数据库敏感字段都会考虑加密处理。例如:支付宝、微信、微博...

    MongoDB中文社区
  • PHP的几个常用加密函数

    在php的开发过程中,常常需要对部分数据(如用户密码)进行加密 一、加密类型: 1.单向散列加密   就是把任意长度的信息进行散列计算,得到固定长度的输出,这个...

    joshua317
  • 视频加密一机一码真相来了!线上教育“暑”你最安全!

    视频加密一机一码技术是对某些自有版权的视频进行加密处理,用户只有在一定的条件下才能获得视频的观看权。比如对于教育视频加密后,只有学员才能观看,每个学员都有自己的...

    点量小崔
  • 真相 | 投机者根本不是用户!区块链市场因他们起高楼,因他们崩到底!

    币价还在跌。昨天,比特币价格一度跌破 3300 美元,仅相当于上个月 BCH 算力大战前的一半、去年最高点的六分之一,真是腰斩再腰斩……从价格上看,比特币和整个...

    区块链大本营
  • 加密服务设计

    为什么要做加密服务,最近GDPR对个人数据查的很严,如果违反规定,罚款是很大的,大部分开发的同学是没太多安全意识的,说不定哪天因为系统漏洞导致数据被泄露...

    心平气和
  • 视频加密一机一码真相来了!线上教育“暑”你最安全!

    视频加密一机一码技术是对某些自有版权的视频进行加密处理,用户只有在一定的条件下才能获得视频的观看权。比如对于教育视频加密后,只有学员才能观看,每个学员都有自己的...

    点量小崔
  • Chrome 86 新功能解读

    在之前,我们可以使用 <input type="file"> 元素去磁盘读取文件,如果要保存更改,需要给<a>标签增加一个download属性,它会打开文件选择...

    ConardLi

扫码关注云+社区

领取腾讯云代金券