-
-
使用AES-256加密算法的勒索软件SkidLocker分析
-
发表于: 2016-3-19 17:18 1534
-
新闻链接:http://www.freebuf.com/articles/terminal/99153.html
新闻时间:2016年3月18日
新闻正文:
0×01 概述
SkidLocker勒索软件使用AES-256加密算法,通过检索文件信息的内容来加密不同类型的文件,勒索金额需要付款0.500639比特币(208.50美元)。
0×02 分析
在受害者主机创建”C:\Users\W7_MMD\ransom.jpg”,”C:\User\W7_MMD\Desktop\ WindowsUpdate.bat “,”C:\Users\W7_MMD\Desktop\READ_IT.txt”,运行C: \ Users \ W7_MMD \ Decrypter .exe运行两个HTTP POST请求的IP地址为:23227199175(美国),发送被感染的机器的详细信息:用户名(username),主机名(pcname)和一个标准密钥(servkey)与服务器进行通信: /createkeys.php:获取与该密码将被加密后的RSA密钥。/getamount.php:获取有关的金额信息支付检索文件:0.500639。
它利用了方法CreatePassword和getInt随机生成被加密文件的密码,密钥的长度是从这个链abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX YZ1234567890中取到的32个字符。
它利用了方法EncryptTextRSA和RSAENcrypt通过RSA协议对密码(新创建)进行加密;使用从C2服务器获得的公钥,大小为2048bit。
C&C服务器存储发送信息的密码(通过RSA协议加密),发送参数为“aesencrypted”,也许是一种混淆监控网络流量的分析人员的技术。/Savekey.php/update.php/finished.php
然后通过函数来选择不同的驱动器(分区),扫描这些驱动(C:\\ D:\\,E:\\,F:\\,G:\\ H:\\,I:\\,J:\\以及K:\\)在这些磁盘目录下搜索下列文件类型:.
TXT,.DOC,.DOCX,.xls,.xlsx,.PDF,.PPS,.PPT,.PPTX, ODT,.gif,.jpg,.png,.db,.csv,.SQL,.MDB,.sln,.PHP,.asp,.aspx,.html,.xml,.PSD,.FRM,.MYD ,.MYI,.DBF,.MP3,.MP4,.AVI,.MOV,.MPG,.rm,.WMV.m4a,.mpa,.WAV,SAV,.gam,.LOG,.ged ,.,.myo,.tax,.ynab,.ifx,.ofx,.qfx,.QIF,.qdf,.tax2013,.tax2014,.tax2015,.box,.ncf,NSF,.NTF,.lwp 。
文件夹C:\\Windows下的文件不加密。计算定义在文本中的SHA256哈希值作为密码并设置该新密码加密文件。算法利用AES加密; 发送存储在文件中的信息和长度为256个字节密码。使用接收到的数据访问并重写每个文件(加密的),。最后添加扩展名.locked。
http://image.3001.net/images/20160318/14582802076099.png
一旦修正的目标文件下载模块“执行Decrypter.exe”,这将被用于检索的加密信息,该可执行文件从IP地址服务器23.227.199.83(美国)获取。还可以从imgur.com下载和修改图像库壁纸(i.imgur.com/By3yCwd.jpg)。
在该Web服务器上查看内容,还可以看到其他类型的恶意软件。
在文件READ_IT.txt中的网站let-me-help-you-with-that.webnode.com用于给已支付赎金的受害者提供解密密码。
最后cuendo进程运行Decrypter.exe,随后从i.imgur.com/eROA81P.jpg下载修改后的壁纸,壁纸上保存着攻击者提供的密码。
0×03 释放文件
文件名称:
ransom.exe / Size: 25.0 KB / VT
MD5:
6fc471eb0a2ea50d6a3b689855a68c0a
SHA1:
a886411a5ab5f87732ab10ef098bad5bb305ec68
SHA256:
38cd5dc5601b401de1f53be12a1998e666c112ac62cc110dc1f1c91246a77817 filename: mm.exe / Size: 25.0 KB / VT MD5: 85a65cd0146355f1e3e42755e4feaeed SHA1: 03c2243acb5d48bb57b8ed2ed617b8f3199c7711 SHA256: af4802e84b5575ef2ade1ef103739afb7352807884dbf1ce7b7c770d994465f7 filename: mm1.exe / Size: 76.5 KB / VT MD5: f578c991d6dbc426103c119f8c97e577 SHA1: d06761ae89328fc73436bf08491b27b5980254cc SHA256: 6be813322ca2cfcd4a937a7087fb19d716c3e696d0f7ca442e67d5adb451aadc Filename: bb2old.exe / Size: 247.5 KB / VT MD5: 553c3faf060aaa2c083d66db468c1c70 SHA1: d8b09de3b0b4968d50ad2d4098d3a991c8c3373f SHA256: f6a74ead6c58e939050580889017f2d5e4a646980509de79c4fb151722388ec1 Filename: Decrypter.exe / size: 11.0 KB / VT MD5: bb78607edb2aaed95747319bd61258a8 SHA1: 07efccb34829a338b6fa2a45af15a151e736acdf SHA256: 9bcb2750326ba0880151f1f4ba524aae2915c54dbb75d949a8c35f95f80a253e
新闻时间:2016年3月18日
新闻正文:
0×01 概述
SkidLocker勒索软件使用AES-256加密算法,通过检索文件信息的内容来加密不同类型的文件,勒索金额需要付款0.500639比特币(208.50美元)。
0×02 分析
在受害者主机创建”C:\Users\W7_MMD\ransom.jpg”,”C:\User\W7_MMD\Desktop\ WindowsUpdate.bat “,”C:\Users\W7_MMD\Desktop\READ_IT.txt”,运行C: \ Users \ W7_MMD \ Decrypter .exe运行两个HTTP POST请求的IP地址为:23227199175(美国),发送被感染的机器的详细信息:用户名(username),主机名(pcname)和一个标准密钥(servkey)与服务器进行通信: /createkeys.php:获取与该密码将被加密后的RSA密钥。/getamount.php:获取有关的金额信息支付检索文件:0.500639。
它利用了方法CreatePassword和getInt随机生成被加密文件的密码,密钥的长度是从这个链abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX YZ1234567890中取到的32个字符。
它利用了方法EncryptTextRSA和RSAENcrypt通过RSA协议对密码(新创建)进行加密;使用从C2服务器获得的公钥,大小为2048bit。
C&C服务器存储发送信息的密码(通过RSA协议加密),发送参数为“aesencrypted”,也许是一种混淆监控网络流量的分析人员的技术。/Savekey.php/update.php/finished.php
然后通过函数来选择不同的驱动器(分区),扫描这些驱动(C:\\ D:\\,E:\\,F:\\,G:\\ H:\\,I:\\,J:\\以及K:\\)在这些磁盘目录下搜索下列文件类型:.
TXT,.DOC,.DOCX,.xls,.xlsx,.PDF,.PPS,.PPT,.PPTX, ODT,.gif,.jpg,.png,.db,.csv,.SQL,.MDB,.sln,.PHP,.asp,.aspx,.html,.xml,.PSD,.FRM,.MYD ,.MYI,.DBF,.MP3,.MP4,.AVI,.MOV,.MPG,.rm,.WMV.m4a,.mpa,.WAV,SAV,.gam,.LOG,.ged ,.,.myo,.tax,.ynab,.ifx,.ofx,.qfx,.QIF,.qdf,.tax2013,.tax2014,.tax2015,.box,.ncf,NSF,.NTF,.lwp 。
文件夹C:\\Windows下的文件不加密。计算定义在文本中的SHA256哈希值作为密码并设置该新密码加密文件。算法利用AES加密; 发送存储在文件中的信息和长度为256个字节密码。使用接收到的数据访问并重写每个文件(加密的),。最后添加扩展名.locked。
http://image.3001.net/images/20160318/14582802076099.png
一旦修正的目标文件下载模块“执行Decrypter.exe”,这将被用于检索的加密信息,该可执行文件从IP地址服务器23.227.199.83(美国)获取。还可以从imgur.com下载和修改图像库壁纸(i.imgur.com/By3yCwd.jpg)。
在该Web服务器上查看内容,还可以看到其他类型的恶意软件。
在文件READ_IT.txt中的网站let-me-help-you-with-that.webnode.com用于给已支付赎金的受害者提供解密密码。
最后cuendo进程运行Decrypter.exe,随后从i.imgur.com/eROA81P.jpg下载修改后的壁纸,壁纸上保存着攻击者提供的密码。
0×03 释放文件
文件名称:
ransom.exe / Size: 25.0 KB / VT
MD5:
6fc471eb0a2ea50d6a3b689855a68c0a
SHA1:
a886411a5ab5f87732ab10ef098bad5bb305ec68
SHA256:
38cd5dc5601b401de1f53be12a1998e666c112ac62cc110dc1f1c91246a77817 filename: mm.exe / Size: 25.0 KB / VT MD5: 85a65cd0146355f1e3e42755e4feaeed SHA1: 03c2243acb5d48bb57b8ed2ed617b8f3199c7711 SHA256: af4802e84b5575ef2ade1ef103739afb7352807884dbf1ce7b7c770d994465f7 filename: mm1.exe / Size: 76.5 KB / VT MD5: f578c991d6dbc426103c119f8c97e577 SHA1: d06761ae89328fc73436bf08491b27b5980254cc SHA256: 6be813322ca2cfcd4a937a7087fb19d716c3e696d0f7ca442e67d5adb451aadc Filename: bb2old.exe / Size: 247.5 KB / VT MD5: 553c3faf060aaa2c083d66db468c1c70 SHA1: d8b09de3b0b4968d50ad2d4098d3a991c8c3373f SHA256: f6a74ead6c58e939050580889017f2d5e4a646980509de79c4fb151722388ec1 Filename: Decrypter.exe / size: 11.0 KB / VT MD5: bb78607edb2aaed95747319bd61258a8 SHA1: 07efccb34829a338b6fa2a45af15a151e736acdf SHA256: 9bcb2750326ba0880151f1f4ba524aae2915c54dbb75d949a8c35f95f80a253e
赞赏
看原图
赞赏
雪币:
留言: