首页
社区
课程
招聘
【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
发表于: 2024-7-16 11:43 1930

【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法

2024-7-16 11:43
1930

1.背景

在公众号文章中看到一篇名为《敲竹杠木马分析:虚假的植物大战僵尸杂交版》的文章,样本来源于某吧,对此我们对样本进行了提取分析。

文章链接:https://mp.weixin.qq.com/s/Up9u4DZtHnVNMiGBIHZzHw

2.恶意文件基础信息

文件名

植物大战僵尸杂交版v2.1安装包.exe

大小

44.55MB

操作系统

windows

架构

386

模式

32 位

类型

EXEC

字节序

LE

MD5

b78f0af88d811d3e4d92f7cd03754671

SHA1

718f9b5fbcc0ead85157bd67d7643daf99dcedbc

SHA256

396c74b2aeca0dbea8ae5f4770bc66e99f8d22aa284b392d0b78dee1711014af

3.加密后文件分析

3.1威胁分析

病毒家族

MBRlock

首次出现时间/捕获分析时间

2024/06/21 || 2024/06/21

威胁类型

勒索软件,加密病毒

联系邮箱

qq3113763905

感染症状

电脑黑屏,开机显示勒索qq。

感染方式

受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接

4逆向分析

4.1 查壳


Upx 壳子。

4.1.1 文件操作

定位当前文件路径


从文件中读取数据

4.1.2 解密操作

文件里面有三个明文的密钥

进行三次rc4解密操作

获取到了一个字符串

Spark.LocalServer.exe

还有一些数据

4.1.3 目录操作

获取并拼接生成目录名C:\\Users\\123\\AppData\\Local\\Temp\\Temp


根据这个目录逐级生成目录


生成两个字符串 C:\\Users\\123\\AppData\\Local\\Temp\\Temp\\Spark.LocalServer.exe 和C:\\Users\\123\\AppData\\Local\\Temp\\Temp\\kook网截.vmp.exe

根据刚才解密出来的东西写入文件


调用shell打开这两文件


4.1.4 蓝屏

点击后蓝屏


显示勒索qq号



4.2 释放的exe分析

4.2.1 kook网截.vmp.exe分析

通过查壳分析发现是易语言写的程序


通过字符串交叉引用定位到了勒索qq号生成的位置以及明文密钥“我爱原神”



载入xdbg


发现该病毒调用了一个易语言的加密模块,这是经典的MBR勒索病毒之一,它通过覆盖硬盘数据的方式阻止系统正确启动,同时在网上也能找到对应的源码。



5. 病毒分析小结

根据对样本的深入逆向工程分析,得出该勒索病毒分析结果概览:

主要功能:

释放文件,调用shell执行文件对硬盘进行上锁

字符串混淆: 采用rc4混淆字符串,并用固定的key解密

系统操作: 在指定路径下释放文件

6. 修复方法

MBR病毒通过覆盖硬盘数据的方式阻止系统正确启动。由于我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE维护系统的移动介质。

6.1 系统引导

我们借助U盘/CD/DVD等移动存储介质通过PE系统检查硬盘数据情况。

服务器通过开机引导键盘位F12进入启动项选择界面选择U盘启动。


个人电脑可以通过F12重复上述操作;

或DELETE按键进入设备主机BIOS,按下F8(不同品牌设备存在差异,以华硕为例)选择要启动的硬盘类型,选择提前插入的U盘启动。

6.2 PE示例


不同PE工具界面略有差异。



进入PE维护系统,运行BOOTICE。


6.3 修复扇区

本次为虚拟机操作。



可以看到首扇区已经不是正常的引导,而是变成了勒索信息。


MBR勒索通常是把引导信息放在第三个扇区。


为了避免意外,我们将前几个扇区先备份一下。


这样的我们直接把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存。



无论是MBR格式的磁盘还是GPT格式的磁盘,都需要打开分区管理,检查分配盘符情况,正确分配到C盘,



若发现其他盘符有抢占的情况,无法分配到C盘或已存在盘符,则重启设备即可,重启后会恢复正常。


重启测试已经能够进入服务器,检查硬盘分区和数据各项已恢复正常。



本次修复已完成。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2024-7-16 11:49 被solar解密编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//