SamSam勒索病毒变种预警
  

SSEC 8549

{{ttag.title}}
一、概述

    最近,美国亚特兰大市的多家公司及个人计算机遭到了大规模的勒索软件攻击,官方甚至声明:“与该市打过交道的每家公司或每个人都面临险境”。
    某公司EDR安全团队研究发现,这次病毒是SamSam家族的勒索病毒变种,它是以.Net语言编写的。样本采用RSA2048加密算法将系统中大部分的文档文件加密为.breeding123后缀的文件,然后对用户进行勒索。该变种跟以往SamSam病毒的不同之处在于,其使用RDP爆破进行传播,因此,开启了RDP协议且使用弱密码的用户将受到潜在风险。
    当用户点击此病毒后,病毒开始加密系统文件,然后在桌面创建多个勒索信息的html文件,并显示勒索提示框:
    图片1.png

二、病毒分析

    样本主体分析
    (1)样本采用.NET语言进行编写的,去混淆,如下图所示:
    图片2.png
    (2)通过JetBrains dotPeek可以反汇编得到相应的.NET源码,如下图所示:
    图片3.png
    (3)解密相关的字符串,将SALT key传入解密函数,进行解密,如下图所示:
    图片4.png
    (4)解密的相关函数,反汇编代码如下所示:
    图片5.png
    (5)通过前面的解密字符串函数,得到后面加密的文件类型,动态调试如下所示:
    图片6.png
     加密的文件类型列表:
.vb,.asmx,.config,.3dm,.3ds,.3fr,.3g2,.3gp,.3pr,.7z,.ab4,.accdb,.accde,.accdr,.accdt,.ach,.acr,.act,.adb,.ads,.agdl,.ai,.ait,.al,.apj,.arw,.asf,.asm,.asp,.aspx,.asx,.avi,.awg,.back,.backup,.backupdb,.bak,.lua,.m,.m4v,.max,.mdb,.mdc,.mdf,.mef,.mfw,.mmw,.moneywell,.mos,.mov,.mp3,.mp4,.mpg,.mrw,.msg,.myd,.nd,.ndd,.nef,.nk2,.nop,.nrw,.ns2,.ns3,.ns4,.nsd,.nsf,.nsg,.nsh,.nwb,.nx2,.nxl,.nyf,.tif,.tlg,.txt,.vob,.wallet,.war,.wav,.wb2,.wmv,.wpd,.wps,.x11,.x3f,.xis,.xla,.xlam,.xlk,.xlm,.xlr,.xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.ycbcra,.yuv,.zip,.sqlite,.sqlite3,.sqlitedb,.sr2,.srf,.srt,.srw,.st4,.st5,.st6,.st7,.st8,.std,.sti,.stw,.stx,.svg,.swf,.sxc,.sxd,.sxg,.sxi,.sxm,.sxw,.tex,.tga,.thm,.tib,.py,.qba,.qbb,.qbm,.qbr,.qbw,.qbx,.qby,.r3d,.raf,.rar,.rat,.raw,.rdb,.rm,.rtf,.rw2,.rwl,.rwz,.s3db,.sas7bdat,.say,.sd0,.sda,.sdf,.sldm,.sldx,.sql,.pdd,.pdf,.pef,.pem,.pfx,.php,.php5,.phtml,.pl,.plc,.png,.pot,.potm,.potx,.ppam,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.prf,.ps,.psafe3,.psd,.pspimage,.pst,.ptx,.oab,.obj,.odb,.odc,.odf,.odg,.odm,.odp,.ods,.odt,.oil,.orf,.ost,.otg,.oth,.otp,.ots,.ott,.p12,.p7b,.p7c,.pab,.pages,.pas,.pat,.pbl,.pcd,.pct,.pdb,.gray,.grey,.gry,.h,.hbk,.hpp,.htm,.html,.ibank,.ibd,.ibz,.idx,.iif,.iiq,.incpas,.indd,.jar,.java,.jpe,.jpeg,.jpg,.jsp,.kbx,.kc2,.kdbx,.kdc,.key,.kpdx,.doc,.docm,.docx,.dot,.dotm,.dotx,.drf,.drw,.dtd,.dwg,.dxb,.dxf,.dxg,.eml,.eps,.erbsql,.erf,.exf,.fdb,.ffd,.fff,.fh,.fhd,.fla,.flac,.flv,.fmb,.fpx,.fxg,.cpp,.cr2,.craw,.crt,.crw,.cs,.csh,.csl,.csv,.dac,.bank,.bay,.bdb,.bgt,.bik,.bkf,.bkp,.blend,.bpw,.c,.cdf,.cdr,.cdr3,.cdr4,.cdr5,.cdr6,.cdrw,.cdx,.ce1,.ce2,.cer,.cfp,.cgm,.cib,.class,.cls,.cmt,.cpi,.ddoc,.ddrw,.dds,.der,.des,.design,.dgc,.djvu,.dng,.db,.db-journal,.db3,.dcr,.dcs,.ddd,.dbf,.dbx,.dc2,.pbl
    (6)遍历磁盘,进行后面的加密文件操作,如下图所示:
    图片7.png
    (7)加密文件,遍历对应磁盘下的文件目录,如果是下面这些目录,则不进行后面加密操作,直接返回,相应的目录如下:
    c:\windows\        
    c:\winnt\
    或者文件目录中包含下面这些字符,同样不进行加密操作,相应的字符串如下:
    reference assemblies\microsoft
    recycle.bin
    c:\users\all users
    c:\documents and settings\all users
    c:\boot
    c:\users\default
    反汇编代码如下图所示:
    图片8.png
    (8)定位到相应的文件目录之后,开始遍历里面的文件,如果文件名扩展是下面这些文件名类型,则不进行后面的加密操作,相应的后缀名如下:
    .breeding123  .search-ms        .exe        .msi        .lnk        
    .wim        .scf        .ini        .sys        .dll
    或者文件名是或者包含如下这些文件名:
    Startinfo.bat        followed2.vshost.exe        READ-FOR-DECCC-FILESSS.html
    Desktop.ini        ntuser.dat        search-ms
    microsoft\windows        appdata
    以及文件的父路径为C:\,则都不进行后面的加密操作,反汇编代码如下图所示:
    图片9.png
    (9)如果文件名扩展名,为下面这些文件扩展名,则加密相应的文件,反汇编代码如下:
    图片10.png
    加密后的文件名为原文件名+ .breeding123(后缀),如下图所示:
    图片11.png
    整个加密过程的反汇编代码如下所示:
    图片12.png
    (10)结束相应的sql数据库进程,如下图所示:
    图片13.png
    图片14.png
    (11)在桌面创建10个勒索信息的html文件,文件名为:READ-FOR-DECCCC-FILESSS.(0-9)html,反汇编代码如下所示:
    图片15.png
传播方式
    这个勒索病毒主要通过爆力破解RDP的方式进行传播,其不具备横向感染的能力,不会对局域网的其他设备发起相应的攻击。

加密算法
    该勒索病毒采用RSA2048加密算法加密文件,目前暂没有相应的解密工具。

三、预防措施
    目前某公司EDR已经具备相应的检测查杀能力,如图所示:
    图片16.png

    某公司提醒用户,日常防范措施:
    1.不要点击来源不明的邮件以及附件
    2.及时给电脑打补丁,修复漏洞
    3.对重要的数据文件定期进行非本地备份
    4.安装专业的终端/服务器安全防护软件
    5.定期用专业的反病毒软件进行安全查杀
    6.SamSam勒索软件主要利用RDP(远程桌面协议)爆破进行攻击,因此建议用户关闭相应的RDP(远程桌面协议)  
    7.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等


网络病毒无孔不入,防范措施不可淡无

你怎样评价此新病毒的破坏性?

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

sangfor_闪电回_晓六 发表于 2018-4-2 19:29
  
学习了,谨记专家的提醒
yl2352 发表于 2018-4-4 08:13
  
谢谢专家提醒,早做防备。
zhb 发表于 2018-4-4 16:11
  
RDP协议估计大家都不会关,
如果中了病毒,是文件先被加密呢还是,还是先被EDR杀掉
池栋 发表于 2018-4-8 10:27
  
网络时代真是风起云涌啊
Snail5027 发表于 2018-4-19 17:06
  
干货,硬技术,学习ing。技术流走一波
Nevermore 发表于 2018-7-23 11:27
  
不明觉厉啊
帅帅哥 发表于 2019-1-15 14:15
  
多谢提醒,记下了
帅帅哥 发表于 2019-1-16 08:21
  
感谢分享
新手978007 发表于 2019-1-22 08:30
  
感谢楼主的分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人