• <em id="qvh4r"><acronym id="qvh4r"><u id="qvh4r"></u></acronym></em>
    <th id="qvh4r"></th>
      1. <rp id="qvh4r"><object id="qvh4r"><input id="qvh4r"></input></object></rp>

        【預警】勒索病毒Ouroboros開學來襲

        2019-09-05 18:29:00 作者:企業網D1Net 出處 : 轉載

        近日,亞信安全截獲全新勒索病毒Ouroboros,此勒索病毒在加密文件完成后會添加.[ID=十位隨機字符][[email protected]].Lazarus的后綴,亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。隨著深入的分析,安全專家發現了黑客使用的FTP服務器,服務器上還存有Ouroboros勒索病毒變種文件,安全專家推測該勒索病毒目前正處在持續更新中,亞信安全將會持續關注該勒索病毒的動態。

        勒索病毒Ouroboros詳細分析

        安全專家分析發現,該勒索病毒源文件并未加殼:

        使用IDA打開此文件,加載符號文件時發現病毒作者編譯程序留下的符號文件位置,以此確定此勒索病毒為Ouroboros:

        初步分析,該勒索病毒中有大量的反調試函數,或者通過函數中包含return函數的形式增加病毒分析難度:

        進入到程序關鍵函數,該勒索病毒會調用PowerShell程序,通過vssadmin delete shadows /all /y命令刪除卷影副本:

        然后加載病毒中需要的信息,如郵箱信息,生成ID:

        在地址40A000的位置,安全專家發現勒索病毒會進行進程遍歷,關閉與數據庫相關的進程:

         

        該病毒使用了SFML(Simple and Fast Multimedia Library)網站的一個資源:http[:]//www[.]sfml-dev[.]org/ip-provider.php

        訪問此網址后,可以獲取到訪問者的公網IP地址(圖中紅框位置為get請求包內容):

        然而在此勒索病毒中,此網站成了用來獲取受害者IP的工具(為了正常分析,我在本地搭建了一個web,通過hosts將sfml-dev[.]org指向本地,圖中地址為本地web環境偽造的響應地址):

        該病毒會嘗試建立與主機176.31.68.30的連接,等到程序收集了IP、ID、磁盤使用情況和key的信息后,一并發送給主機176.31.68.30,并且等待返回包。

        該病毒不會在主線程中直接進行加密操作,而是將加密邏輯的函數地址作為參數傳遞給新創建的線程,新線程中獲取到對應參數,再進行跳轉執行。加密邏輯會遍歷磁盤上的文件夾,檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合條件,避免對這些文件或者目錄下的文件進行加密操作

        否則其會讀取文件內容,開始在內存中對文件內容進行加密:

         

        文件內容加密完成后,其會創建以下后綴的文件:[ID=十位隨機字符串][[email protected]].Lazarus

        然后,其將加密內容寫入創建的帶后綴的文件中,隨后刪除未被加密的源文件:

        完成勒索后,釋放勒索信息的文件Read-Me-Now.txt,文件內容如下:

        普通勒索病毒到這里可能就已經完成了所有邏輯,但是安全專家做了靜態分析后發現,此病毒還會觸發ftp連接的操作,從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,啟動新的進程來執行此文件:

         

         

        安全專家對下載的Uiapp.exe文件進行了簡單的分析,發現此程序沒有明顯的惡意行為,僅僅只是為了更加醒目的顯示勒索信息:

         

        雙擊執行后,桌面會彈出如下的勒索信息界面:

        安全專家還在176.31.68.30的ftp中發現了另一個exe文件:crypt.exe(該文件被檢測為Ransom.Win32.OUROBOROS.AA),依據文件名安全專家懷疑該文件是此次勒索病毒最初的來源,所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對比,發現并不一致:

        但是經過進一步的分析發現,兩者代碼塊中的內容幾乎一致,僅僅只是編譯時間上的不同,crypt.exe的文件編譯時間較新,據此安全專家懷疑Ouroboros勒索病毒正在持續更新中,未來亞信安全會密切關注。

        亞信安全教你如何防范

        · 不要點擊來源不明的郵件以及附件;

        · 不要點擊來源不明的郵件中包含的鏈接;

        · 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

        · 打開系統自動更新,并檢測更新進行安裝;

        · 盡量關閉不必要的文件共享;

        · 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

        亞信安全產品解決方案

        亞信安全病毒碼版本15.329.60,云病毒碼版本15.329.71,全球碼版本15.329.00已經可以檢測,請用戶及時升級病毒碼版本。

        IOCs

        MD5:

        87283fcc4ac3fce09faccb75e945364c

        e3caef2e2bdc4b08d625d4845f3205b6

        黄色片欧美