勒索勒索补丁

报告初稿完成时间:2016年04月07日17时44分首次发布时间:2016年04月08日14时23分勒索软件家族TESLACRYPT最新变种技术特点分析安天安全研究与应急处理中心(AntiyCERT)勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第2页目录1概述.
12传播方式.
13样本分析.
23.
1样本标签.
33.
2使用RSA4096加密算法加密文件,但不修改原文件名.
33.
3对抗安全工具.
43.
4具有PDB信息.
53.
5利用CMD自启动.
53.
6使用非常规的函数调用和跳转.
53.
7TESLACRYPT4.
0加密的文件格式64总结.
7附录一:参考资料.
7附录二:安天CERT发现的50多个传播勒索软件的域名.
7附录三:安天CERT发现的C&C地址8附录四:关于安天.
9勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第1页1概述安天安全研究与应急处理中心(AntiyCERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt4.
0,它具有多种特性,例如:对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等.
尤其值得一提的是,通常勒索软件在感染受害主机后均会修改被加密文件的扩展名,如TeslaCrypt早期版本(.
vvv、.
mp3、.
ccc、.
abc、.
ttt等),其他勒索软件Locky、CTB-Locker(.
Locky,.
oinpgca).
而TeslaCrypt的最新变种具有在加密文件后不修改原文件扩展名的特点.
勒索软件TeslaCrypt在2015年2月份左右被发现[1],它是在Cryptolocker的基础上修改而成.
在其第一个版本中,TeslaCrypt声称使用非对称RSA-2048加密算法,但实际上使用的是对称的AES加密算法,由此Cisco(思科)发布了一款解密工具,在找到可恢复主密钥的key.
dat文件时,可以解密被TeslaCrypt勒索加密的文件[2];但在之后的多个版本中,勒索软件TeslaCrypt开始使用非对称的RSA加密算法,被加密的文件在无密钥的情况下已经无法成功解密了,安天CERT发现,TeslaCrypt4.
0在2016年3月份开始出现,使用的是RSA-4096加密算法.
勒索软件系列事件的出现,具有多方面原因,其中重要的一点是匿名网络和匿名支付的高度成熟.
2016年春节过后,勒索软件Locky开始爆发,全球多家安全厂商发布了相应的报告,安天CERT也在2016年2月19日发布了《首例具有中文提示的比特币勒索软件"LOCKY"》[3];2016年3月底,G-Data和趋势先后发布了修改MBR、加密整个硬盘的勒索软件Petya的报告;2016年4月初,安天CERT开始跟踪勒索软件TeslaCrypt4.
0.
2传播方式勒索软件TeslaCrypt4.
0利用网站挂马和电子邮件进行传播,在国内网站挂马发现的较少,通常利用浏览器漏洞(Chrome、Firefox、InternetExplorer)、Flash漏洞和AdobeReader漏洞进行传播;而利用电子邮件传播的数量较多,安天CERT发现的多起勒索软件事件也都是通过电子邮件传播的.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第2页图1利用电子邮件传播勒索软件在分析TeslaCrypt的下载地址时,安天CERT研究人员发现,相同域名下存放多个TeslaCrypt4.
0程序,且文件HASH各不相同.
例如:域名http://***pasqq.
com,可以下载TeslaCrypt4.
0的地址如下:http://***pasqq.
com/23.
exehttp://***pasqq.
com/24.
exehttp://***pasqq.
com/25.
exehttp://***pasqq.
com/42.
exehttp://***pasqq.
com/45.
exehttp://***pasqq.
com/48.
exehttp://***pasqq.
com/69.
exehttp://***pasqq.
com/70.
exehttp://***pasqq.
com/80.
exehttp://***pasqq.
com/85.
exehttp://***pasqq.
com/87.
exehttp://***pasqq.
com/93.
exe另外,其他域名中勒索软件的下载地址同上,如:23.
exe、24.
exe、25.
exe…93.
exe.
至2016年4月7日14时,安天CERT共发现具有下载勒索软件TeslaCrypt4.
0的域名共50多个,部分域名已经失效.
部分下载勒索软件TeslaCrypt4.
0的域名:***pasqq.
com***uereqq.
com***ghsqq.
com***rulescc.
asia***rulesqq.
com3样本分析安天CERT共发现近300个勒索软件TeslaCrypt4.
0.
研究人员在其中选择了时间较新的样本进行分析.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第3页3.
1样本标签病毒名称Trojan[Ransom]/Win32.
Teslacrypt原始文件名80.
exeMD530CB7DB1371C01F930309CDB30FF429B处理器架构X86-32文件大小396KB(405,504字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳5704939E-->2016-04-0612:42:06数字签名NO加壳类型未知编译语言MicrosoftVisualC++VT首次上传时间2016-04-0604:07:00UTCVT检测结果28/573.
2使用RSA4096加密算法加密文件,但不修改原文件名该样本运行后复制自身至%ApplicationData%文件夹中,重命名为wlrmdr.
exe,设置自身属性为隐藏,然后使用CreateProcessW为其创建进程.
图2创建wlrmdr.
exe进程样本在新创建的进程中使用CreateThread开启线程,对全盘文件进行加密.
首先样本使用GetLogicalDriveStringsW获取所有逻辑驱动器,成功后使用FindFirstFileW与FindNextFileW遍历全盘所有文件,进行加密.
图3遍历磁盘文件加密函数地址为0x0040190A.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第4页图4调用加密函数对遍历到的文件加密利用RSA4096算法加密后,调用WriteFile将加密后的数据由内存写入文件,没有对文件名做修改.
图5将加密后的数据写入文件加密前后的文件对比:图6加密前后的文件对比3.
3对抗安全工具样本会查找系统中是否存在包含字符串的进程并将其隐藏,使用用户无法"看到"这些工具:"taskmg"任务管理器"regedi"注册表管理器"procex"进程分析工具"msconfi"系统配置"cmd"命令提示符勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第5页图7隐藏cmd界面3.
4具有PDB信息样本具有PDB信息,其文件名为"wetproblemiyuoblemi_x.
pdb"图8样本的调试信息中包含PDB信息3.
5利用CMD自启动样本调用RegCreateKeyExW,将使用CMD启动自身的代码写入至注册表中,使其随系统开机启动.
图9利用CMD达到随系统开机启动的目的3.
6使用非常规的函数调用和跳转样本使用了很多非常规的函数调用和跳转,用来阻止安全人员分析该病毒.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第6页图10非常规的函数调用图11非常规的跳转3.
7TeslaCrypt4.
0加密的文件格式图12TeslaCrypt4.
0加密的文件格式勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第7页4总结勒索软件对企业和个人用户都具有极大的威胁,被加密后的文件无法恢复,将给用户造成巨大的损失.
解决勒索软件的威胁问题除安装安全产品、防护产品、备份产品外,更需要用户在接收邮件时谨慎小心,慎重打开邮件或点击邮件内的链接,尤其是陌生人邮件.
安天智甲终端防护系统(IEP)可以在用户误点击运行勒索软件时阻止其对用户文件进行加密.
安天追影高级威胁鉴定系统(PTD)具有自动识别未知勒索软件的能力.
附录一:参考资料[1]安天发布:揭开勒索软件的真面目http://www.
antiy.
com/response/ransomware.
html[2]思科发布:针对勒索软件TeslaCrypt的解密工具http://www.
freebuf.
com/sectool/66060.
htmlhttp://blogs.
cisco.
com/security/talos/teslacrypt[3]首例具有中文提示的比特币勒索软件"LOCKY"http://www.
antiy.
com/response/locky/locky.
html附录二:安天CERT发现的50多个传播勒索软件的域名marvellrulescc.
asiawitchbehereqq.
comohelloguymyff.
comarendroukysdqq.
comisityouereqq.
comjoecockerhereff.
comblablaworldqq.
comjeansowghsqq.
comhowisittomorrowff.
comfromjamaicaqq.
commarvellrulesqq.
comgiveitalltheresqq.
comgoonwithmazerqq.
comgreetingseuropasqq.
comgiveitallhereqq.
comgutentagmeinliebeqq.
comgrandmahereqq.
comohelloguyzzqq.
comhellomississmithqq.
commafiawantsyouqq.
comjeansowghtqq.
comhellomisterbiznesqq.
comspannflow.
comgrandaareyoucc.
asiahellomydearqq.
comohelloguyqq.
comimgointoeatnowcc.
comhelloyoungmanqq.
combonjovijonqq.
comwashitallawayff.
com勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第8页howareyouqq.
comjoecockerhereqq.
comgreetingsjamajcaff.
cominvoiceholderqq.
comitsyourtimeqq.
suhpalsowantsff.
comitisverygoodqq.
comblizzbauta.
comohellowruff.
comlenovomaybenotqq.
comyesitisqqq.
comohelloweuqq.
comlenovowantsyouqq.
comthisisitsqq.
comujajajgogoff.
commafianeedsyouqq.
comsoclosebutyetqq.
comohiyoungbuyff.
commommycantakeff.
comisthereanybodyqq.
comhelloyungmenqq.
comthisisyourchangeqq.
comohelloguyff.
com附录三:安天CERT发现的C&C地址addagapublicschool.
com/binfile.
phpkel52.
com/wp-content/plugins/ajax-admin/binstr.
phpcloserdaybyday.
info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.
phpcoldheartedny.
com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.
6.
0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.
phpthejonesact.
com/wp-content/themes/sketch/binfile.
phptheoneflooring.
com/wp-content/themes/sketch/binfile.
phpmahmutersan.
com.
tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.
phpmyredhour.
com/blog//wp-content/themes/berlinproof/binstr.
phpcontrolfreaknetworks.
com/dev/wp-content/uploads/2015/07/binstr.
phpsappmtraining.
com/wp-includes/theme-compat/wcspng.
phpcontrolfreaknetworks.
com/dev/wp-content/uploads/2015/07/wcspng.
phpvtechshop.
net/wcspng.
phpsappmtraining.
com/wp-includes/theme-compat/wcspng.
phpshirongfeng.
cn/images/lurd/wcspng.
php198.
1.
95.
93/~deveconomytravel/cache/binstr.
phphelpdesk.
keldon.
info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.
phphotcasinogames.
org/binfile.
phpgoldberg-share.
com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.
phpopravnatramvaji.
cz/modules/mod_search/wstr.
phpstudiosundaytv.
com/wp-content/themes/sketch/binfile.
phptheoneflooring.
com/wp-content/themes/sketch/binfile.
phphotcasinogames.
org/binfile.
phppcgfund.
com/binfile.
phpkknk-shop.
dev.
onnetdigital.
com/stringfile.
phpforms.
net.
in/cgi-bin/stringfile.
phpcasasembargada.
com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.
phpcsskol.
org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.
phpgrosirkecantikan.
com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.
php勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第9页naturstein-schubert.
de/modules/mod_cmscore/stringfile.
phpvtc360.
com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.
phpstarsoftheworld.
org/cgi-bin/binarystings.
phpholishit.
in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.
phpminteee.
com/images/binstr.
phpnewculturemediablog.
com/wp-includes/fonts/wstr.
phpdrcordoba.
com/components/bstr.
php附录四:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn