首页
社区
课程
招聘
[原创]【病毒分析】“美杜莎”勒索家族:从入侵到结束的全流程深度解析
发表于: 2025-1-23 15:36 4597

[原创]【病毒分析】“美杜莎”勒索家族:从入侵到结束的全流程深度解析

2025-1-23 15:36
4597

  Medusa家族是一种主要针对基于Windows环境的勒索软件即服务(RaaS),自2021年6月起活跃。该勒索软件在2023年初因其活动升级而广为人知,特别是与其专用泄露网站Medusa Blog(DLS)的推出密切相关。Medusa的大多数攻击集中在美国,但也在英国、加拿大、澳大利亚等国家造成了重大影响,涉及众多行业。其高价值目标主要包括医疗保健、制造业、教育和专业服务等领域。

  Medusa暗网地址搭建于Tor网络,结构可分为三个主要页面:数据泄露页、泄露详情页和谈判页。数据泄露页用于展示所有受害者的基本信息和已泄露的数据摘要,泄露详情页则深入展示具体的泄露内容、受影响的系统或企业细节,以增加受害者的压力。而谈判页则为受害者与Medusa黑客团队提供了匿名的聊天渠道,供双方进行赎金谈判,通常通过加密的消息传递方式确保信息安全。

  数据泄露页

  泄露详情页

  meudsa谈判页面

  1. sierting.txt(852字节)

  加密前

  加密后

  2. test1.bin(23,168,671字节)

  加密前

  文件的被加密数据以及未被加密数据的其中一部分

  3. test2.bin(1,048,576字节)

  加密前

  文件的被加密数据以及未被加密数据的其中一部分

  加密文件名 = 原始文件名 + .MEDUSA

  文件加密使用了aes256加密算法的cbc模式,对加密文件的aes密钥采用了rsa加密,使用sha256生成受害者id。

  aes256密钥为32字节随机数,使用库函数rand生成,种子为时间加上当前被加密文件的序号,iv为硬编码,加密aes256用的rsa公钥也为硬编码,受害者id根据rsa公钥进行sha256哈希。

  iv: bytes([0x23,0x9F,0xF2,0xA9,0xDE,0x93,0x20,0x2F,0x24,0xBB,0xA5,0xFA,0xE0,0xA3,0x36,0xB1])

  rsa公钥(pkcs1格式):

id: fb74336df24a22672b18f99406fde485af1aa79ad57fa3c92725bfc223f72538

  运行病毒后,程序读取命令行中的配置,根据配置自定义病毒行为,如加密根目录,是否隐藏主程序,勒索信路径等等.然后根据选项运行powershell命令,杀死对病毒不利的杀软进程和服务,删除卷影备份,以一定的规则(白名单)遍历文件夹并加密,然后在被加密文件的文件夹下写入勒索信.最后根据自定义配置决定是否延迟删除自身。

  输出start字符串。

  读取命令行参数,根据参数执行相应代码。

  检测命令行是否为以下内容:

  设置powershell执行策略,用于之后的命令执行,如延时自删除。

  如果有文件,就从文件读取密钥

  如果没有,则解密常量.其中获取bios信息的代码,经分析发现未被使用。

  解密pkcs8格式rsa密钥,计算密钥的sha256,转为小写字符串作为用户id,再把该密钥转成pkcs1格式存储。

  如果勒索信文件存在,则读取。

  不存在则解密默认勒索信。

  解密白名单后缀和一些服务和进程名.根据配置内容确定加密根目录,以及是否执行所谓预处理。

  执行所谓预处理,就是杀死对黑客不利的进程和删除卷影备份。

  使用解密后的powershell命令,杀死如下进程和服务:

  删除卷影备份。

  遍历系统的驱动器列表,根据自定义的是否加密网络文件开关,选择性地忽略网络驱动器(DRIVE_REMOTE)。

  判断加密系统驱动器或加密系统目录选项是否开启。

  是则加密指定目录下的文件.白名单路径和文件名如下:

  使用c++事务加密文件.入口点需要在汇编模式才能看到。

  设置文件属性为非只读。

  过滤一些白名单。

  根据后缀判断是否加密过文件。

  加密主要逻辑,使用了aes,aes使用windows自带api(cng)实现.使用硬编码的iv加密,加密结果写入文件.写入加密内容后,写入文件的尾部信息(格式上文有给出).最后在源文件名字符串后加上".MEDUSA"作为新文件名,使用MovFile替换源文件。

  同时写入勒索信。

  计算并显示加密所用时间,再根据配置决定是否自删除。

  使用powershell命令执行延时自删除。

  主要的行为流程可以总结为:病毒启动后根据命令行配置定制行为,包括选择加密根目录、隐藏主程序、指定勒索信路径等,同时执行PowerShell命令结束反病毒进程、删除卷影备份,并通过命令行解析控制具体操作。病毒会设置PowerShell执行策略确保后续命令顺利执行,加载加密密钥并使用RSA算法加密存储密钥。如果勒索信文件存在,病毒读取并使用其中内容;若无,则解密默认勒索信。加密前,病毒会结束不利进程和删除备份,随后通过白名单规则遍历并加密文件,同时在每个加密文件所在的文件夹写入勒索信。文件加密的方式根据文件大小不同而有所区别。最后,根据配置,病毒可能延迟自删除以清除痕迹。

ad7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2N6s2c8S2j5$3E0A6M7g2)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3U0c8Q4x3V1j5H3z5g2)9J5c8U0p5&6i4K6u0r3k6h3#2#2L8r3q4@1K9h3&6Y4i4K6u0V1L8h3g2V1N6i4y4S2i4K6u0V1M7X3q4F1M7$3!0E0N6$3q4J5k6g2)9J5c8R3`.`.

50bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9r3g2Z5j5h3y4C8k6i4u0F1k6i4N6K6i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9J5y4q4)9J5c8U0l9I4i4K6u0r3L8h3g2V1N6i4y4S2i4K6u0V1M7X3q4F1M7$3!0E0N6$3q4J5k6g2)9J5k6r3!0F1i4K6u0V1M7X3W2K6k6g2)9J5k6r3k6J5L8$3#2Q4x3X3c8V1j5i4c8S2i4K6u0W2K9s2c8E0L8l9`.`.

2adK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0K9i4y4S2i4K6u0W2k6$3!0$3i4K6u0r3L8X3g2%4M7#2)9J5k6r3g2$3k6h3&6@1M7#2)9J5c8X3y4&6j5X3g2J5M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8S2k6s2k6A6M7$3!0J5K9h3g2K6i4K6u0r3j5h3p5J5x3W2)9J5k6o6p5^5x3h3p5`.

4d9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3k6h3y4@1M7X3q4Q4x3X3g2S2K9g2)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5k6r3q4U0N6r3!0J5M7#2)9J5c8X3#2W2k6s2g2K6j5b7`.`.

4caK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2J5k6h3I4A6j5i4q4#2k6i4y4@1i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8X3#2W2k6s2g2K6j5g2)9J5k6r3q4@1N6r3q4U0K9#2)9J5k6r3q4F1j5h3I4&6M7$3W2K6i4K6u0r3

文件名 47386EE20A6A94830EE4FA38B419A6F7.exe
编译器 msvc
大小 626 KB
操作系统 Windows(Vista)[AMD64, 64位, GUI]
模式 32 位
类型 EXEC
字节序 LE
MD5 47386ee20a6a94830ee4fa38b419a6f7
SHA1 ee4575cf9818636781677d63236d3dc65652deab
SHA256 736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 225
活跃值: (414)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
Blockchain address : bc1qfjuwdfq90ld77v47093yuzt344807uzk7h3qpu
Bitcoin balance
0.00032375 BTC
Last updated Dec 02, 2024, 4:30 p.m. EST. Balance as of last transaction. Supported formats include: P2PKH, P2SH, and Bech32. Extended public key addresses are not currently supported.
2025-1-26 11:27
0
游客
登录 | 注册 方可回帖
返回