一、樣本簡介
樣本是吾愛破解論壇找到的,原網址:https://www.52pojie.cn/thread-1035897-1-1.html,
樣本鏈接: https://pan.baidu.com/s/1gQ0f3SH2yqeJzJW7U-Fg5A 提取碼: tid2
樣本ESET檢測爲Win32/Kryptik.GUIH 特洛伊木馬的變種。此類型的病毒會加密文件然後勒索用戶。
二、現象描述
雙擊病毒文件後,會在後臺運行一個進程,此進程會先解密原有的二進制數據,然後將二進制數據重新拷貝到一個新的臨時文件中,自動運行新生成的文件。新的文件會遍歷磁盤,將所有程序進行AES加密(會排除部分類型的文件,和部分特定名的文件)。加密完成後的文件類型是.litar文件。加密完成後會在文件夾下生成一個_readme.txt文件,文件裏是勒索信息。
三、樣本信息
MD5值:adfacb09ceb60e6410e014275145b5a9
SHA1值:eef83497e8aa02d644b7d071be81a678e1611aa6
CRC32:5BA85BCD
四、測試環境及工具
環境:Windows 7 64位
工具:火絨劍,OD,IDA,exeinfope,UPX Unpacker
五、樣本行爲分析
1)先查殼,是UPX殼
用工具UPX Unpacker脫殼後,先用IDA分析,發現了一段代碼解析和執行shellcode
2)用OD跟,這段shellcode主要是解密和拷貝覆蓋所有區段數據
完成之後,創建新的進程,結束當前進程
3)在新進程裏執行加密的操作
新進程開始創建互斥體
從C盤開始遍歷所有文件夾
排除以下文件格式(.regtrans-ms、.lnk、.bat、.blf、.dll、.DLL、.ini、.sys)
排除以下文件(ntuser.pol、ntuser.dat.LOG2、ntuser.dat.LOG1、ntuser.dat)
加密文件分爲二步
第一步:從第6個字節到最後一個字節,這一段數據執行加密函數,並將加密後的數據覆蓋原來的字節(小於等於5字節的文件直接改後綴名,不執行其他操作)
第二步:在最後追加寫入一些數據
下面詳細分析這兩步
第一步:
生成密鑰
先生成25個字節的字符串,其中前5個字節是讀取文件的前5字節,後面的20個字節是固定的F8FDD41823F97A6B619BFE3C095A8CC4
將25個字節進行如下計算
計算完後取出數據得到一個長度爲32字節長度的字符串,再調用下面的函數進行字符串拼接處理
處理完後得到一個長度爲64字節的字符串。再經過AES算法,加密64字節的明文。
將得到的64字節的密文覆蓋原來的。文本以64字節爲單位循環加密。
加密完成後在最後加入.litar後綴。
至此加密完成。
下面第二步,追加數據
追加數據第一部分數據
追加第二部分數據
追加的數據都是在解密原文件時候得到的
勒索文件_readme
readme裏的personal ID沒用,因爲在AES加密前的密鑰是由文件的前5個字節加固定字符串計算得到的。所以密鑰每個文件都是固定的,得到密鑰後,根據AES解密算法很容易還原原文件。