近期，Solar团队收到某汽车制造公司的援助请求，该公司的计算机服务器受到了Steloj勒索家族的侵害，所有的文件被加密并且添加了.steloj后缀，该勒索软件的初始入侵方式是MSSQL数据库弱口令进行入侵，后续通过XP_CMD 获取系统 system 权限 进行命令执行。应客户的要求，本文暂不提供对入侵事件溯源的分析报告，仅提供该勒索病毒加密器的逆向分析报告。

文件名

SQLcn052511321ALL.exe

大小

678912(663.00 KiB)

操作系统

Windows(Vista)

架构

I386

模式

32 位

类型

GUI

字节序

LE

MD5

c8ce1e35a68c3ce7b2485855b7d82dfc

SHA1

941deaad4c2b78998447f6735a88076f62e5f739

SHA256

bad9957fd18dfa2e4231a61e1c8bb5861c52710fdf1735ebe9dc28f744c37cd7

README_WARNING.txt

病毒家族

steloj

首次出现时间/捕获分析时间

2024.06.01 || 2024.06.10

威胁类型

勒索软件，加密病毒

加密文件扩展名

.steloj

勒索信文件名

README_WARNING.txt

有无免费解密器？

无

联系邮箱

steloj@lycos.com

检测名称

Avast (Win32:Malware-gen), AhnLab-V3 (Trojan/Win.Generic.C5576951), ALYac (Gen:Variant.Tedy.512515), Avira (no cloud) (TR/Ransom.imrnt), BitDefenderTheta (Gen:NN.ZexaF.36802.yq0@aSdxC8m), CrowdStrike Falcon (Win/malicious_confidence_100% (W))，Cylance（Unsafe），DeepInstinct（MALICIOUS），Emsisoft（Gen:Variant.Tedy.512515 (B)），ESET-NOD32（A Variant Of MSIL/Filecoder.LU），GData（Gen:Variant.Tedy.512515）， Ikarus （Trojan.MSIL.Crypt），K7GW（Trojan ( 0052f4e41 )）

感染症状

无法打开存储在计算机上的文件，以前功能的文件现在具有不同的扩展名（.steloj）。桌面上会显示一条勒索要求消息（README_WARNING.txt）。网络犯罪分子要求通过洋葱路由登录到他们提供的数据恢复网站，根据不同的用户情况，黑客的开价也不同

感染方式

受感染的电子邮件附件（宏）、恶意广告、漏洞利用

受灾影响

大部分文件（不包括exe dll等文件，与重要系统文件）都经过加密，如果不支付赎金无法打开。黑客声称拿到了电脑内的重要数据，若不支付赎金则会在黑客的blog上公开

加密后：

解密后：

文件的大小增加了1032Byte，经过多次实验结果仍然相同，具体请看下面的加密完毕后的标志写入处内容。

外部调用是创建了一个线程实现的对del_all_shadows函数的调用

del_all_shadows函数：

存在对字符串解密的情况，解密后，winExec执行的命令是：

创建了以“{8761ABBD-7F85-42EE-B272-A76179687C63}”为名称的信号量，防止在加密的过程中，产生线程资源访问冲突问题。

管理员模式启动

这里会先通过进程Token中的信息来判断是否是管理员身份启动，若是管理员则不通过sub_F3829E函数来重新以管理员的模式启动程序。

sub_F3829E函数：

该函数会先获取当前程序运行的路径，然后设置管理员启动参数，最后调用ShellExecuteExW函数来执行，以实现管理员权限的启动，w10环境下会弹窗。

通过对注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System的EnableLinkedConnections设置为0，以实现对多权限网络共享访问网络共享的关闭。

向桌面写入beforePShell.txt文件

这里会向桌面写入一个beforePShell.txt文件，但是这里因为encode_last+10217变量为0，所以不会执行。

寻找物理空闲倦，如果存在，将对系统上的空闲倦实行挂载。

find_free_mem函数实现：

通过将自身写入到Software\\Microsoft\\Windows\\CurrentVersion\\Run注册表中，并且键为MSFEEditor，值为该文件路径。

这里的通信地址未设置，并且并未开启通信功能，所以不会执行。

这里会下载洋葱路由，然后对其进行解压，并且调用，以实现对暗网的通信

这里会调用AutoSeededRandom函数来生成32位的随机数，并将此当作加密的Key。

这里会使用RSA将上面生成的KEY加密，并且换成HEX形式，保存到Buffer中，并且会清空加密前的对象。

根据加密密钥的内容，取前几位当作加密的ID,将其替换到勒索信ID中

produce_ransom_note函数：

内存中勒索信的内容：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)