一、概述
近日,騰訊御見威脅情報中心監測到,stop勒索病毒變種(後綴.raldug)在國內有部分感染。分析發現,該版本病毒相比較於18年11月份開始活躍的DATAWAIT版本,在加密算法和病毒模塊有了變化,由於該版本的stop勒索病毒在其基礎設施工作正常、聯網穩定情況下加密後的文件暫無法解密,我們提醒各政企機構注意防範。
Stop勒索病毒家族在國內主要通過軟件捆綁,垃圾郵件等方式進行傳播,加密時通常需要下載其它病毒輔助工作模塊。Stop勒索病毒會留下名為_readme.txt的勒索說明文檔,勒索980美元,並聲稱72小時內聯繫病毒作者將獲得50%費用減免。
Stop勒索病毒還具有以下特性:
1.
加密時,禁用任務管理器、禁用Windows Defender、關閉Windows Defender的實時監控功能 ;
2.
通過修改hosts文件阻止系統訪問全球範圍內大量安全廠商的網站;
3.
因病毒執行加密時,會造成系統明顯卡頓,為掩人耳目,病毒會彈出偽造的Windows 自動更新窗口;
4.
釋放一個被人為修改後不顯示界面的TeamViewer模塊,用來實現對目標電腦的遠程控制;
5.
下載AZORult竊密木馬,以竊取用戶瀏覽器、郵箱、多個聊天工具的用戶名密碼。
二、分析
Stop勒索家族病毒早期部分版本使用AES算法無區別加密所有文件,文件末尾不追加硬編碼附加數據。該病毒家族加密後的文件後綴數已超50餘個,包括以下清單所列舉的後輟名:
(.stop, .suspended, .waiting,
.pausa, .contactus, .datastop, .stopdata, .keypass, .why, .savefiles,
.datawait, .infowait, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu,
.djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet,
.rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks,
.promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope,
.kropun, .charcl, .doples, .luces,
.luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat,
.roland, .refols, .raldug)
騰訊安全御見威脅情報中心監測到近期國內流行的加密後輟為.raldug,病毒使用Salsa20加密文件。會根據文件大小採用不同的加密方案:當文件Size小於等於5字節時不加密,大於5字節時跳過文件頭5字節,剩餘部分小於等於0x25800(150KB)字節時全部加密,大於0x25800(150KB)則只加密0x25800部分大小,該版本樣本加密文件完成後還會在末尾追加2部分的硬編碼字符串,並最終修改文件名添加擴展後綴.raldug。
當前病毒使用Salsa20加密文件:
加密時判斷文件大小<=5字節時,對文件內容不進行加密
大於5字節時,嘗試讀取0x25805字節
加密時跳過文件頭前5字節
對剩餘部分0x25800內容加密完成後追加包含兩個部分的硬編碼固定字串信息,第二部分為固定{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}
加密白名單目錄與早期樣本相比並沒有變化
病毒加密時通過內部創建的線程回調嘗試從服務器拉取加密Key預備數據
(接口如下:hxxp://root.ug/ASdgdrega73264iUKdu7364ykdhfjgdftest/Asduheweyfguyfgkhjasdfasdf/get.php?pid=(MAC-HASH))
密鑰生成流程主要有以下步驟:
1.嘗試在線訪問病毒服務接口獲取隨機生成的密鑰預備數據
2.當病毒服務接口返回數據成功,則提取line1-line2標籤內字段作為密鑰預備數據,剩餘部分作為勒索ID號
3.當病毒服務器失活情況則使用離線的密鑰預備數據
4.對密鑰預備數據計算得到md5
5.讀取文件頭5字節的原始數據
6.文件頭5字節數據拼接步驟4中計算得到的md5
7.對步驟6中最終得的緩衝區計算md5即為文件加密Key
病毒訪問服務器Key生成接口獲取加密Key預備數據
通過分析的歷史病毒版本樣本可知當Key生成接口存活時,返回以下格式數據
病毒通過會對服務器返回結果進行查分解析(解析標籤line1-line2內為Key預備數據,剩餘部分作為文件末尾追加數據的第一部分和勒索說明文檔中的用戶ID)
而當前版本病毒服務器由於失活,暫時返回404無效信息
此時病毒依舊會嘗試使用固定的密鑰預處理數據對文件進行加密
密鑰預備數據將被計算md5並和文件頭5字節進行拼接,如下圖中5字節文件原始數據“REM D”拼接“F37E72DD16621339E0B96A481B26B31B”,拼接的內容再次計算MD5則為最後的文件加密Key,從而能實現每個被加密的文件都有單獨的加密密鑰
此版本病毒運行後還會嘗試下載執行以下5個模塊:updatewin1.exe、updatewin2.exe、updatewin.exe、3.exe、4.exe(已不可下載)、5.exe,分別執行不同的任務。
觀察下載鏈接url中有test字段疑似作者還在測試更新:
hxxp://pool.ug/tesptc/test/updatewin1.exe
該模塊目的為禁用任務管理器,禁用Windows Defender開機啟動,關閉Windows Defender的實時監控功能。
hxxp://pool.ug/tesptc/test/updatewin2.exe
該模塊目的為通過修改Host文件禁止被攻擊者訪問安全類站點(包含全球範圍內大量安全公司的網站和微軟公司網站)。
hxxp://pool.ug/tesptc/test/updatewin.exe
由於加密文件過程可能會造成機器卡頓,病毒會使用此模塊偽裝當前系統正在進行重要更新,防止受害者發現異常。
hxxp://pool.ug/tesptc/test/3.exe
該模塊其實為一個TeamViewer壓縮包,被Patch後的TeamViewer安裝包運行後將執行TeamViewer.exe主程序,且運行後將無任何界面顯示,並將當前所需遠程的ID,密碼上傳到病毒作者手中。當病毒作者通過接受到的ID,密碼遠程登錄用戶電腦後,即可對用戶機器進行任意的遠程控制。
hxxp://pool.ug/tesptc/test/4.exe(暫已無法下載)
hxxp://pool.ug/tesptc/test/5.exe(AZORult竊密木馬)
部分模塊已有分析,不在贅述,可參考:
《DATAWAIT勒索病毒現身 騰訊電腦管家率先解密》
https://mp.weixin.qq.com/s/0HNsULH4LIRnzFT_v3qUqQ
與早期病毒版本不同之處為新增AZORult竊密木馬,該木馬可竊取用戶瀏覽器、郵箱、Skype、Telegram、Steam等軟件的密碼和配置信息。
木馬使用C2:hxxp://pool.ug/1/index.php
三、關於Stop勒索病毒破壞的解密修復
該病毒能否解密主要有以下3種情況:
1.早期部分病毒版本由於其服務器生成密鑰接口存在缺陷,當第一次請求接口時,服務器生成返回新的Key數據,而當再次訪問密鑰生成接口,服務器則會把該mac請求生成過的Key直接返回,針對此bug可拿到密鑰實現解密。
2.病毒使用Key生成接口失活情況下,病毒會使用離線Key進行加密,該情況下,也可實現解密,國外有安全研究人員也針對此病毒版本進行了離線密鑰的長期收集並開發瞭解密工具。
下載地址如下:
Https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
3.病毒加密時使用了在線生成的Key,且後續無法通過其對應的服務接口獲得Key信息,此情況暫時無法解密。
通過分析嘗試編寫測試代碼,在病毒Key生成接口失活情況下的加密文件可實現解密
國外有安全研究員整理了眾多病毒版本,並提供了病毒離線加密情況下的免費解密工具:
四、安全建議
企業用戶:
1、 儘量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。
2、 儘量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
3、 採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議服務器密碼使用高強度且無規律密碼,並且強制要求每個服務器使用不同密碼管理。
4、 對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊後作為跳板進一步攻擊其他服務器。
5、 對重要文件和數據(數據庫等數據)進行定期非本地備份。
6、 在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。
7、建議全網安裝御點終端安全管理系統(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面瞭解、管理企業內網安全狀況、保護企業安全。
個人用戶:
1、 開啟騰訊電腦管家,攔截stop勒索病毒攻擊;
2、 打開騰訊電腦管家的文檔守護者功能,利用磁盤冗餘空間備份資料,萬一不幸中招,可以完全恢復數據。
IOCs
MD5:
e3083483121cd288264f8c5624fb2cd1
996ba35165bb62473d2a6743a5200d45
e1167cb7f3735d4edec5f7219cea64ef
7637e83def3c66546bb4a6ee5e963b03
a3870e4202cb9f95698a4686fff2e6bb
4182570e406e84333debc2645a8317af
URL:
hxxp://pool.ug/tesptc/test/updatewin1.exe
hxxp://pool.ug/tesptc/test/updatewin2.exe
hxxp://pool.ug/tesptc/test/updatewin.exe
hxxp://pool.ug/tesptc/test/3.exe
hxxp://pool.ug/tesptc/test/4.exe
hxxp://pool.ug/tesptc/test/5.exe
hxxp://root.ug/ASdgdrega73264iUKdu7364ykdhfjgdftest/Asduheweyfguyfgkhjasdfasdf/get.php?pid=(mac-hash)
hxxp://pool.ug/1/index.php
相關推薦
