-
-
【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
-
发表于: 2024-7-16 11:43 1930
-
1.背景
在公众号文章中看到一篇名为《敲竹杠木马分析:虚假的植物大战僵尸杂交版》的文章,样本来源于某吧,对此我们对样本进行了提取分析。
文章链接:https://mp.weixin.qq.com/s/Up9u4DZtHnVNMiGBIHZzHw
2.恶意文件基础信息
文件名 | 植物大战僵尸杂交版v2.1安装包.exe |
大小 | 44.55MB |
操作系统 | windows |
架构 | 386 |
模式 | 32 位 |
类型 | EXEC |
字节序 | LE |
MD5 | b78f0af88d811d3e4d92f7cd03754671 |
SHA1 | 718f9b5fbcc0ead85157bd67d7643daf99dcedbc |
SHA256 | 396c74b2aeca0dbea8ae5f4770bc66e99f8d22aa284b392d0b78dee1711014af |
3.加密后文件分析
3.1威胁分析
病毒家族 | MBRlock |
首次出现时间/捕获分析时间 | 2024/06/21 || 2024/06/21 |
威胁类型 | 勒索软件,加密病毒 |
联系邮箱 | qq3113763905 |
感染症状 | 电脑黑屏,开机显示勒索qq。 |
感染方式 | 受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接 |
4逆向分析
4.1 查壳
Upx 壳子。
4.1.1 文件操作
定位当前文件路径
从文件中读取数据
4.1.2 解密操作
文件里面有三个明文的密钥
进行三次rc4解密操作
获取到了一个字符串
Spark.LocalServer.exe
还有一些数据
4.1.3 目录操作
获取并拼接生成目录名C:\\Users\\123\\AppData\\Local\\Temp\\Temp
根据这个目录逐级生成目录
生成两个字符串 C:\\Users\\123\\AppData\\Local\\Temp\\Temp\\Spark.LocalServer.exe 和C:\\Users\\123\\AppData\\Local\\Temp\\Temp\\kook网截.vmp.exe
根据刚才解密出来的东西写入文件
调用shell打开这两文件
4.1.4 蓝屏
点击后蓝屏
显示勒索qq号
4.2 释放的exe分析
4.2.1 kook网截.vmp.exe分析
通过查壳分析发现是易语言写的程序
通过字符串交叉引用定位到了勒索qq号生成的位置以及明文密钥“我爱原神”
载入xdbg
发现该病毒调用了一个易语言的加密模块,这是经典的MBR勒索病毒之一,它通过覆盖硬盘数据的方式阻止系统正确启动,同时在网上也能找到对应的源码。
5. 病毒分析小结
根据对样本的深入逆向工程分析,得出该勒索病毒分析结果概览:
主要功能:
释放文件,调用shell执行文件对硬盘进行上锁
字符串混淆: 采用rc4混淆字符串,并用固定的key解密
系统操作: 在指定路径下释放文件
6. 修复方法
MBR病毒通过覆盖硬盘数据的方式阻止系统正确启动。由于我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE维护系统的移动介质。
6.1 系统引导
我们借助U盘/CD/DVD等移动存储介质通过PE系统检查硬盘数据情况。
服务器通过开机引导键盘位F12进入启动项选择界面选择U盘启动。
个人电脑可以通过F12重复上述操作;
或DELETE按键进入设备主机BIOS,按下F8(不同品牌设备存在差异,以华硕为例)选择要启动的硬盘类型,选择提前插入的U盘启动。
6.2 PE示例
不同PE工具界面略有差异。
进入PE维护系统,运行BOOTICE。
6.3 修复扇区
本次为虚拟机操作。
可以看到首扇区已经不是正常的引导,而是变成了勒索信息。
MBR勒索通常是把引导信息放在第三个扇区。
为了避免意外,我们将前几个扇区先备份一下。
这样的我们直接把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存。
无论是MBR格式的磁盘还是GPT格式的磁盘,都需要打开分区管理,检查分配盘符情况,正确分配到C盘,
若发现其他盘符有抢占的情况,无法分配到C盘或已存在盘符,则重启设备即可,重启后会恢复正常。
重启测试已经能够进入服务器,检查硬盘分区和数据各项已恢复正常。
本次修复已完成。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)