利用外挂样本进行勒索

基础知识

勒索病毒：它的特征即磁盘文件被加密，一旦完成勒索过程则无法恢复文件，因此这类病毒以预防为主，安装杀毒软件并做好主机防黑工作及时打补丁，对重要文件要及时隔离备份。

RC4：它是对称加密算法(加解密使用同一个密钥)，它是可变密钥长度，面向字节操作的流密码。加解密过程都是按字节逐个处理的。设明文是in、密文是out、密钥流是s，对于加密，out[n] = in[n] ^ s[n]，对于解密，in[n] = out[n] ^ s[n]。也就是说，明文、密文、密钥流的长度都相同，加密和解密的过程也完全相同

背景

通过在某网盘上看到提供很多可免费下载的外挂样本，就下载一个“穿越火线”的外挂样本玩玩，但是通过测试分析发现该外挂样本是一个披着羊皮的狼，它是一款国人开发的并采用易语言开发的勒索软件样本。

当用户在下载样本后，并点击启动游戏外挂应用程序后，它会释放勒索病毒在预定的时间以服务方式启动。

该样本是中国版的勒索病毒竟然是以微信支付作为赎金方式，一旦点击启动将加密用户电脑内除特定格式外的所有文件及资料，加密后文件的后缀被修改为.SafeSound

功能分析

该样本执行后，会将.data区段中的勒索功能的硬编码，也就是病毒文件释放到C:\Users\username\Documents\目录下并自动将文件设置隐藏属性。

下图是释放safesound.dll文件的。

SafeSound.dll它提供导出函数InsertSvc,会在主程序加载SafeSound.dll模块之后调用其导出函数功能。

该样本启动后还会在注册表中有动作，它会创建一个名为”SafeSound”的服务：ServiceDll: C:\Users\win7\Documents\SafeSound.dll（可通过processmonitor进程监控工具分析样本启动过程中的文件操作、注册表操作、网络相关操作等等）

样本首次启动时在C:\Windows\Temp下存放trigger文件, 写入的时间是当前系统时间三天后时间。

当样本运行后或者电脑重新重启时样本随服务启动时，会时间点进行验证。如果当前时间点是trigger文件中所标记时间点则开始进入加密流程。

文件加密时判断文件后缀格式，不会对下列格式进行加密，生成0x40随机数通过下图预置字符表进行字符转换。

还会将密钥进行释放到临时文件C:\Windows\Temp\Key.data中，Key文件共有0x48字节，前4字节用于校验解码密钥，4-8字节为异或加密的密钥，最后0x40字节为解密文件的长密钥，并且采用RC4进行加密。

其中SafeSound.hash文件，它是用于勒索病毒样本提供文件加密的清单信息。

执行在加密磁盘文件后，最后再释放出可执行程序Antidote.exe。该程序是勒索样本提供的勒索信息+解密器一体的可执行程序，最后该样本作者通过微信向受害者索要赎金。

小结

1、网络安全意识还是要有的，在各种网站下载不明文件时还是要提高警惕，不可直接运行可疑程序，在运行之前可先用主流的病毒查收软件进行查杀下病毒。安全做法可在虚拟机上线跑下程序，看下程序是否有啥猫腻。

2、电脑环境还是要安装病毒查杀软件，并且要开启监控，更新病毒库和程序模块。

3、定期备份保存好重要的资料和数据，降低中病毒后带来的损失。

4、病毒样本一般可通过文件、进程、系统信息和日志信息进行排查病毒的行为。

5、中了病毒后，可采取断网隔离方式、解密掉被加密的系统、或者重装系统。