SamSam作者又出来浪了

Track-SSG   ·   发表于 2018-12-27 11:08:40   ·   黑客新闻

前言

最近深信服EDR安全团队发现SamSam勒索病毒的最新变种样本,编译时间较新,加密后的文件后缀名与之前发现的一款变种一样,同样以.weapologize结尾,样本采用RSA2048+AES加密算法进行加密,加密后的文件无法解密。

一、样本简介

SamSam勒索病毒作为最活跃的勒索病毒之一,在2015-2018年期间,造成了至少3000万美元的社会损失,据调查这款勒索软件至少勒索了价值一千万美元以上的比特币,此前SamSam勒索病毒的两位作者已经被FBI指控,分别为现居住在伊朗的27岁的Mohammad Mehdi Shah Mansour和34岁的Faramarz Shahi Savandi,如下所示:

FBT公布了两个BTC钱包地址,如下所示:

二、详细分析

1. 样本采用NET语言进行编写,如下所示:

查看样本的编译时间,为2018年12月11号,如下所示:

2. 传入相应的三个参数,如果没有参数,则直接退出程序,如下所示:

3. 解密生成勒索相关信息,如下所示:

通过AES算法进行解密,如下所示:

4. 在当前目录下读取存放RSA公钥Key的*.keyxml配置文件,如下所示:

5. 遍历磁盘文件,如下所示:

比较获取到的磁盘文件的文件名,如下所示:

如果文件目录或文件扩展名包含以下文件名或目录,则不进行加密操作,相应的文件名和目录,如下所示:

文件后缀名为:

.weapologize、.search-ms、.exe、.msi、.lnk、.wim、.scf、.ini、.sys、.dll

文件名为:

SORRY-FOR-FILES.html、g04inst.bat、desktop.ini、ntuser.dat

目录包含:

c:\\ProgramData、c:\\windows、c:\\winnt、microsoft\\windows、appdata、
Reference assemblies\\microsoft、recycle.bin、c:\\users\\all users、
c:\\documents and settings\\all users、c:\\boot、c:\\users\\default

6.判断磁盘文件后缀名,如果在加密后缀文件名列表中,则进行后面的加密操作,如下所示:

一共有330个需要加密的文件的后缀名,如下所示:

两个需要加密的数据库后缀名sql、mdf,如下所示:

7. 加密文件,生成.weapologize结尾的加密文件,如下所示:

生成后的加密文件文件名,如下所示:

利用生成的AES的key和iv加密文件,如下所示:

同时使用RAS公钥加密的AES的key和iv等信息并写入到文件中,如下所示:

RSA加密过程,如下所示:

8.生成十个勒索信息超文本文件[0000-0009]-SORRY-FOR-FILES.html,同时删除原文件,如下所示:

生成的勒索信息超文本文件,如下所示:

文件内容如下所示:

红框内容中的为之前传入的三个参数,相应的BTC钱包地址:

1HbJu2kL4xDNK1L9YUDkJnqh3yiC119YM2

三、解决方案

深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:

同时深信服EDR安全团队提醒广大用户:

1. 不要点击来源不明的邮件附件,不从不明网站下载软件

2. 及时给主机打补丁,修复相应的高危漏洞

3. 对重要的数据文件定期进行非本地备份

4. 尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5. RDP远程服务器等连接尽量使用强密码,不要使用弱密码

6. 安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

*本文作者:千里目安全实验室,转载来自FreeBuf.COM


打赏我,让我更有动力~

0 条回复   |  直到 2018-12-27 | 1322 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.