locky勒索软件恶意样本分析1
1 locky勒索软件构成概述
前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析。样本主要包含三个程序:
A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1
B PE程序(PE1):外壳程序,主要负责解密内存load PE2。
C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密。
PE1
PE2
2 locky勒索软件行为分析
2.1 XX.JS行为简要分析
病毒的本体在通过邮件传播的时候可以就是一个xx.js的文件。
由于是脚本文件,病毒的原始JS样本已经截获累计到了5位数。
我们将手里的这个JS文件分别传到virtotal和virscan。
由于脚本文件免杀较为容易,单纯只靠更新病毒库不容易将数以万计的js恶意样本完全拦截并报警。
xx.js会同一台webserver 进行通讯,下载PE1
我们查询了一下这个ip。
Locky病毒的作者将PE1文件部署在美国的服务器上。
xx.js成功下载PE之后会将PE1至于当前用户的Temp文件夹中然后直接运行。
如果该JS被执行多次,可能会因为文件已经存在而弹出写入失败的对话框。
对应的该行的代码。
这点可能会被用户察觉。
2.2 PE1 PE2行为简要分析
PE1只是负责内存加载PE2。它的导入表的函数是伪造的,为了用于躲避某些对于导入表查杀敏感的杀软的查杀报警。
对于PE1的查杀virtotal显示基本大部分杀软都已经入库查杀了。
Locky病毒首先使用RtlDecompressBuffer函数与内存中解出PE2
在内存加载的时候会不断的调用GetProcAddress动态的填充修正PE2的导入表的函数地址。
使用常规的函数来判断系统版本
尝试请求通讯服务器上的main.php并进行通讯
向如下通讯服务器通讯请求密钥并回传用户的编号。
会尝试向注册表写入”\Software\Locky”,证明该系统已经存在Locky病毒
会尝试向Run写入启动项
下面应该是打开文件并遍历文件使用微软提供的Crypt对文件进行加密的代码位置
病毒使用CreateFileW打开文件,使用FindFirstFileW和FindNextFileW对文件进行遍历。
使用微软提供的Crypt系列的函数对文件进行加密。
目前会加密下列后缀名的文件。
对于路径和文件名包含下列字符的文件不进行加密
使用
删除全盘所有卷影副本,使受害系统不能够通过卷影副本进行系统还原。
病毒完成执行成功后会设置如下背景图片进行勒索。
3 locky勒索软件分析总结
通过目前的分析来看,勒索软件“Locky”的功能与之前分析的勒索软件的功能基本一致。勒索软件能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪。一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。广大用户,为防止数据被加密,更应该注意勒索软件的防御,养成良好的上网使用习惯,不要轻易执行来历不明的文件。与其他勒索软件不同的是,”Locky”是首例具有中文提示的比特币勒索软件,这预示着勒索软件作者针对的目标范围逐渐扩大,勒索软件将发展出更多的本地化版本。今后中国将受到更多类似的勒索软件攻击。所以如何防御勒索便成为保卫网络安全的重要任务之一。