高级模式   | 热搜 : 资讯  安全  漏洞  工具  系统安全 
查看: 1072 | 回复: 0
只看楼主
离线
yfmxo(好ID:4444885)   发表于 2016-04-24 08:10:53     
1#


0×01 概述

SkidLocker勒索软件使用AES-256加密算法,通过检索文件信息的内容来加密不同类型的文件,勒索金额需要付款0.500639比特币(208.50美元)。

0×02 分析

在受害者主机创建”C:\Users\W7_MMD\ransom.jpg”,”C:\User\W7_MMD\Desktop\ WindowsUpdate.bat “,”C:\Users\W7_MMD\Desktop\READ_IT.txt”,运行C: \ Users \ W7_MMD \ Decrypter .exe运行两个HTTP POST请求的IP地址为:23227199175(美国),发送被感染的机器的详细信息:用户名(username),主机名(pcname)和一个标准密钥(servkey)与服务器进行通信: /createkeys.php:获取与该密码将被加密后的RSA密钥。/getamount.php:获取有关的金额信息支付检索文件:0.500639。

它利用了方法CreatePassword和getInt随机生成被加密文件的密码,密钥的长度是从这个链abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX YZ1234567890中取到的32个字符。

它利用了方法EncryptTextRSA和RSAENcrypt通过RSA协议对密码(新创建)进行加密;使用从C2服务器获得的公钥,大小为2048bit。

C&C服务器存储发送信息的密码(通过RSA协议加密),发送参数为“aesencrypted”,也许是一种混淆监控网络流量的分析人员的技术。/Savekey.php/update.php/finished.php

然后通过函数来选择不同的驱动器(分区),扫描这些驱动(C:\\ D:\\,E:\\,F:\\,G:\\ H:\\,I:\\,J:\\以及K:\\)在这些磁盘目录下搜索下列文件类型:.

TXT,.DOC,.DOCX,.xls,.xlsx,.PDF,.PPS,.PPT,.PPTX, ODT,.gif,.jpg,.png,.db,.csv,.SQL,.MDB,.sln,.PHP,.asp,.aspx,.html,.xml,.PSD,.FRM,.MYD ,.MYI,.DBF,.MP3,.MP4,.AVI,.MOV,.MPG,.rm,.WMV.m4a,.mpa,.WAV,SAV,.gam,.LOG,.ged ,.,.myo,.tax,.ynab,.ifx,.ofx,.qfx,.QIF,.qdf,.tax2013,.tax2014,.tax2015,.box,.ncf,NSF,.NTF,.lwp 。

文件夹C:\\Windows下的文件不加密。计算定义在文本中的SHA256哈希值作为密码并设置该新密码加密文件。算法利用AES加密; 发送存储在文件中的信息和长度为256个字节密码。使用接收到的数据访问并重写每个文件(加密的),。最后添加扩展名.locked。

 一旦修正的目标文件下载模块“执行Decrypter.exe”,这将被用于检索的加密信息,该可执行文件从IP地址服务器23.227.199.83(美国)获取。还可以从imgur.com下载和修改图像库壁纸(i.imgur.com/By3yCwd.jpg)。

在该Web服务器上查看内容,还可以看到其他类型的恶意软件。

在文件READ_IT.txt中的网站let-me-help-you-with-that.webnode.com用于给已支付赎金的受害者提供解密密码。

最后cuendo进程运行Decrypter.exe,随后从i.imgur.com/eROA81P.jpg下载修改后的壁纸,壁纸上保存着攻击者提供的密码。

0×03 释放文件

文件名称:

ransom.exe / Size: 25.0 KB / VT

MD5:

6fc471eb0a2ea50d6a3b689855a68c0a 

SHA1:

a886411a5ab5f87732ab10ef098bad5bb305ec68 

SHA256:

38cd5dc5601b401de1f53be12a1998e666c112ac62cc110dc1f1c91246a77817 filename: mm.exe / Size: 25.0 KB / VT MD5: 85a65cd0146355f1e3e42755e4feaeed SHA1: 03c2243acb5d48bb57b8ed2ed617b8f3199c7711 SHA256: af4802e84b5575ef2ade1ef103739afb7352807884dbf1ce7b7c770d994465f7 filename: mm1.exe / Size: 76.5 KB / VT MD5: f578c991d6dbc426103c119f8c97e577 SHA1: d06761ae89328fc73436bf08491b27b5980254cc SHA256: 6be813322ca2cfcd4a937a7087fb19d716c3e696d0f7ca442e67d5adb451aadc Filename: bb2old.exe / Size: 247.5 KB / VT MD5: 553c3faf060aaa2c083d66db468c1c70 SHA1: d8b09de3b0b4968d50ad2d4098d3a991c8c3373f SHA256: f6a74ead6c58e939050580889017f2d5e4a646980509de79c4fb151722388ec1 Filename: Decrypter.exe / size: 11.0 KB / VT MD5: bb78607edb2aaed95747319bd61258a8 SHA1: 07efccb34829a338b6fa2a45af15a151e736acdf SHA256: 9bcb2750326ba0880151f1f4ba524aae2915c54dbb75d949a8c35f95f80a253e

*参考来源:nyxbone.com,东二门陈冠希编译,转载请注明来自Mersion社区

赞 0
    最近浏览:

huller1
2017-08-30

sherry12
2016-08-30

墨齾
2016-06-16

yfmxo
2016-04-23
 
Mersion社区版权声明1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。
2、本站所有主题由该帖子发布者发表,该帖子作者发布者享有帖子相关版权。
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者的同意。
4、帖子作者与发布者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
7、文字管理员和版主有权不事先通知发贴者而删除本文。
 
你需要登录入才可以回帖  登入  |  会员注册

备案号: 版权所有:Mersion社区
当前时间:UTC+8:00, 2019-06-26 02:08:11