最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本,编译时间较新,加密后的文件后缀名与之前发现的一款变种一样,同样以.weapologize结尾,样本采用RSA2048+AES加密算法进行加密,加密后的文件无法解密。
SamSam勒索病毒作为最活跃的勒索病毒之一,在2015-2018年期间,造成了至少3000万美元的社会损失,据调查这款勒索软件至少勒索了价值一千万美元以上的比特币,此前SamSam勒索病毒的两位作者已经被FBI指控,分别为现居住在伊朗的27岁的Mohammad Mehdi Shah Mansour和34岁的Faramarz Shahi Savandi,如下所示:
FBT公布了两个BTC钱包地址,如下所示:
1. 样本采用NET语言进行编写,如下所示:
查看样本的编译时间,为2018年12月11号,如下所示:
2. 传入相应的三个参数,如果没有参数,则直接退出程序,如下所示:
3. 解密生成勒索相关信息,如下所示:
通过AES算法进行解密,如下所示:
4. 在当前目录下读取存放RSA公钥Key的*.keyxml配置文件,如下所示:
5. 遍历磁盘文件,如下所示:
比较获取到的磁盘文件的文件名,如下所示:
如果文件目录或文件扩展名包含以下文件名或目录,则不进行加密操作,相应的文件名和目录,如下所示:
文件后缀名为:
.weapologize、.search-ms、.exe、.msi、.lnk、.wim、.scf、.ini、.sys、.dll
文件名为:
SORRY-FOR-FILES.html、g04inst.bat、desktop.ini、ntuser.dat
目录包含:
c:\\ProgramData、c:\\windows、c:\\winnt、microsoft\\windows、appdata、 Reference assemblies\\microsoft、recycle.bin、c:\\users\\all users、 c:\\documents and settings\\all users、c:\\boot、c:\\users\\default
6.判断磁盘文件后缀名,如果在加密后缀文件名列表中,则进行后面的加密操作,如下所示:
一共有330个需要加密的文件的后缀名,如下所示:
两个需要加密的数据库后缀名sql、mdf,如下所示:
7. 加密文件,生成.weapologize结尾的加密文件,如下所示:
生成后的加密文件文件名,如下所示:
利用生成的AES的key和iv加密文件,如下所示:
同时使用RAS公钥加密的AES的key和iv等信息并写入到文件中,如下所示:
RSA加密过程,如下所示:
8.生成十个勒索信息超文本文件[0000-0009]-SORRY-FOR-FILES.html,同时删除原文件,如下所示:
生成的勒索信息超文本文件,如下所示:
文件内容如下所示:
红框内容中的为之前传入的三个参数,相应的BTC钱包地址:
1HbJu2kL4xDNK1L9YUDkJnqh3yiC119YM2
深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:
同时深信服EDR安全团队提醒广大用户:
1. 不要点击来源不明的邮件附件,不从不明网站下载软件
2. 及时给主机打补丁,修复相应的高危漏洞
3. 对重要的数据文件定期进行非本地备份
4. 尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
5. RDP远程服务器等连接尽量使用强密码,不要使用弱密码
6. 安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
*本文作者:千里目安全实验室,转载来自FreeBuf.COM
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.