近日，亞信安全截獲全新勒索病毒Ouroboros，此勒索病毒在加密文件完成后會添加.[ID=十位隨機字符][Mail=unlockme123@protonmail.com].Lazarus的后綴，亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。隨著深入的分析，安全專家發(fā)現(xiàn)了黑客使用的FTP服務(wù)器，服務(wù)器上還存有Ouroboros勒索病毒變種文件，安全專家推測該勒索病毒目前正處在持續(xù)更新中，亞信安全將會持續(xù)關(guān)注該勒索病毒的動態(tài)。
 
勒索病毒Ouroboros詳細分析
 
安全專家分析發(fā)現(xiàn)，該勒索病毒源文件并未加殼：
 

 
使用IDA打開此文件，加載符號文件時發(fā)現(xiàn)病毒作者編譯程序留下的符號文件位置，以此確定此勒索病毒為Ouroboros：

 

初步分析，該勒索病毒中有大量的反調(diào)試函數(shù)，或者通過函數(shù)中包含return函數(shù)的形式增加病毒分析難度：

 

進入到程序關(guān)鍵函數(shù)，該勒索病毒會調(diào)用PowerShell程序，通過vssadmin delete shadows /all /y命令刪除卷影副本：

 

然后加載病毒中需要的信息，如郵箱信息，生成ID：

在地址40A000的位置，安全專家發(fā)現(xiàn)勒索病毒會進行進程遍歷，關(guān)閉與數(shù)據(jù)庫相關(guān)的進程：
 

 

該病毒使用了SFML(Simple and Fast Multimedia Library)網(wǎng)站的一個資源：http[：]//www[.]sfml-dev[.]org/ip-provider.php

訪問此網(wǎng)址后，可以獲取到訪問者的公網(wǎng)IP地址(圖中紅框位置為get請求包內(nèi)容)：

 

然而在此勒索病毒中，此網(wǎng)站成了用來獲取受害者IP的工具(為了正常分析，我在本地搭建了一個web，通過hosts將sfml-dev[.]org指向本地，圖中地址為本地web環(huán)境偽造的響應(yīng)地址)：

 

該病毒會嘗試建立與主機176.31.68.30的連接，等到程序收集了IP、ID、磁盤使用情況和key的信息后，一并發(fā)送給主機176.31.68.30，并且等待返回包。

 

該病毒不會在主線程中直接進行加密操作，而是將加密邏輯的函數(shù)地址作為參數(shù)傳遞給新創(chuàng)建的線程，新線程中獲取到對應(yīng)參數(shù)，再進行跳轉(zhuǎn)執(zhí)行。加密邏輯會遍歷磁盤上的文件夾，檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符，如果符合條件，避免對這些文件或者目錄下的文件進行加密操作

 

否則其會讀取文件內(nèi)容，開始在內(nèi)存中對文件內(nèi)容進行加密：

 

文件內(nèi)容加密完成后，其會創(chuàng)建以下后綴的文件：[ID=十位隨機字符串][Mail=unlockme123@protonmail.com].Lazarus

然后，其將加密內(nèi)容寫入創(chuàng)建的帶后綴的文件中，隨后刪除未被加密的源文件：

 

完成勒索后，釋放勒索信息的文件Read-Me-Now.txt，文件內(nèi)容如下：

 

普通勒索病毒到這里可能就已經(jīng)完成了所有邏輯，但是安全專家做了靜態(tài)分析后發(fā)現(xiàn)，此病毒還會觸發(fā)ftp連接的操作，從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C：\\ProgramData\\uiapp.exe，此后，啟動新的進程來執(zhí)行此文件：

 

安全專家對下載的Uiapp.exe文件進行了簡單的分析，發(fā)現(xiàn)此程序沒有明顯的惡意行為，僅僅只是為了更加醒目的顯示勒索信息：

雙擊執(zhí)行后，桌面會彈出如下的勒索信息界面：

 

安全專家還在176.31.68.30的ftp中發(fā)現(xiàn)了另一個exe文件：crypt.exe(該文件被檢測為Ransom.Win32.OUROBOROS.AA)，依據(jù)文件名安全專家懷疑該文件是此次勒索病毒最初的來源，所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對比，發(fā)現(xiàn)并不一致：

 

但是經(jīng)過進一步的分析發(fā)現(xiàn)，兩者代碼塊中的內(nèi)容幾乎一致，僅僅只是編譯時間上的不同，crypt.exe的文件編譯時間較新，據(jù)此安全專家懷疑Ouroboros勒索病毒正在持續(xù)更新中，未來亞信安全會密切關(guān)注。

 

亞信安全教你如何防范

• 不要點擊來源不明的郵件以及附件;

• 不要點擊來源不明的郵件中包含的鏈接;

• 采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼;

• 打開系統(tǒng)自動更新，并檢測更新進行安裝;

• 盡量關(guān)閉不必要的文件共享;

• 請注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。

亞信安全產(chǎn)品解決方案

亞信安全病毒碼版本15.329.60，云病毒碼版本15.329.71，全球碼版本15.329.00已經(jīng)可以檢測，請用戶及時升級病毒碼版本。
IOCs
MD5：
87283fcc4ac3fce09faccb75e945364c
e3caef2e2bdc4b08d625d4845f3205b6

標簽： 勒索病毒 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。