BlackoutV3.0勒索病毒分析报告

一、样本简介

Blackout打单病毒家族是一款应用.NET说话编写的打单病毒,它会将原文件名加密为BASE64款式的加密后的文件名,首次发明是在2017年7月份阁下,样本应用了代码肴杂的要领防止安然阐发职员对样本进行静态阐发,这次发明的Blackout打单病毒样本颠末阐发确认是V3.0版本的Blackout家族最新变种样本,采纳RSA+AES加密算法对文件进行加密,加密后的文件无法解密还原。

二、具体阐发

1.样本应用.NET说话进行编写,如下所示:

2.反编译NET法度榜样,样本颠最后肴杂处置惩罚,如下所示:

3.样本去肴杂,如下所示:

颠末调试发明此款Blackout打单病毒是V3.0版本的最新变种样本blut3,如下所示:

4.获取磁盘驱动信息,如下所示:

5.经由过程RNGCryptoServiceProvider天生随机数,如下所示:

天生结果,如下所示:

6.获取机械名,如下所示:

7.获取用户名,如下所示:

8.天生临时备份文件目录,如下所示:

9.设置Form窗体的属性,如下所示:

10.得到必要加密的文件的后缀名列表,如下所示:

响应的文件名后缀如下所示:

“.mdf”,”.db”,”.mdb”,”.sql”,”.pdb”,”.dsk”,”.fp3″,”.fdb”,”.accdb”,”.dbf”,”.crd”,”.db3″,”.dbk”,”.nsf”,”.gdb”,”.abs”,”.sdb”,”.sqlitedb”,”.edb”,”.sdf”,”.sqlite”,”.dbs”,”.cdb”,”.bib”,”.dbc”,”.usr”,”.dbt”,”.rsd”,”.myd”,”.pdm”,”.ndf”,”.ask”,”.udb”,”.ns2″,”.kdb”,”.ddl”,”.sqlite3″,”.odb”,”.ib”,”.db2″,”.rdb”,”.wdb”,”.tcx”,”.emd”,”.sbf”,”.accdr”,”.dta”,”.rpd”,”.btr”,”.vdb”,”.daf”,”.dbv”,”.fcd”,”.accde”,”.mrg”,”.nv2″,”.pan”,”.dnc”,”.dxl”,”.tdt”,”.accdc”,”.eco”,”.fmp”,”.vpd”,”.his”,”.fid”

11.获取当提高程信息,如下所示:

获适合提高程名,如下所示:

12.获取主机进程信息,如下所示:

并判断主机操作系统平台,是否为XP,Win32NT,远程主机等,如下所示:

[1] [2] [3]下一页

13.判断操作系统的说话版本包孕如下字符串,如下所示:

类型包孕如下字符串,如下所示:

14.遍历相关进程,如下所示:

然后停止上面相关进程,如下所示:

相关进程列表,如下所示:

taskmgr、sqlagent、sqlbrowser、sqlservr、sqlwriter、oracle、ocssd、dbsnmp、

synctime、mydesktopqos、agntsvc.exeisqlplussvc、xfssvccon、mydesktopservice

ocautoupds、agntsvc.exeagntsvc、agntsvc.exeencsvc、firefoxconfig、tbirdconfig

ocomm、mysqld、sql、mysqld-nt、mysqld-opt、dbeng50、sqbcoreservice

15.拷贝自身莅临时目录C:\Users\panda\AppData\Local\Temp\Adobe下,然后设置自启动注册表项,如下所示:

拷贝到响应的目录,如下所示:

16.天生RSA密钥,如下所示:

天生的RSA密钥,如下:

gS1EQF1vkdTuplcqTNexJr+EgQa9g6tw7sSiirENylIC1YWaKWCf30pPPqkG3Djt7/gsnAbe3pJipn45QmiJk7zjytMuVi993nYV1wmy6Q9Y2hARIvmQdSPaPF83hHsZG8VQUj7zlhGkrYj4Kn+lG86x5lUlaT+3YnXnr0XqiV+JLDr7oZIZzDSIFgAFP6jy19x4lfkr8QJyisYPRh1SUSEyU8MBO9tcHLCMNtFUilio2gcZXup7nb1Kmq3mTupEHYVxhcSttOTJIJ6SDyzBGFQikp6Jbi8oNBmlVvltHnnQcCmmSHXonUKwMGhFIi2oIp8JGLRQXAOoP2bzs8If2Q==AQAB

经由过程RSA密钥对Key进行加密处置惩罚,如下所示:

天生256位的加密密钥,如下所示:

密钥如下所示:

5F29474544EBE54C25107EDC468548178FF209E96F9D00E228579E57A7233F37E1AA48F4EFDC5D31006F757507AC385477211F328596C1E1C5572A163C22765A3911FCF76AD74D48FEAB7E2E851E3FBF6CBDE211E8C6F3E9526885A3139C17EC53C66FDF5AEFE58EEBA9501EC0653D99E62F52002290066378A81302A3F022C7230DAD30FEB34971187764C93705DCBF5280B89A348533ECE4228D68A4A7BE9CE171BE51D97D48FEE3E53668FDA283D0ADA1EC6809EE0837F8ED094B4F6D744CCEAB4B0C24C2220FEA643F0B41E34165CC1A4DC03873D4E16045FFB9074AF0BB3C4D729E7607484BF858B5C82F65FE122EB2DC6A12721FA637B602752E70D90B

把密钥转化为Base64字符串,如下所示:

“XylHRUTr5UwlEH7cRoVIF4/yCelvnQDiKFeeV6cjPzfhqkj079xdMQBvdXUHrDhUdyEfMoWWweHFVyoWPCJ2WjkR/Pdq101I/qt+LoUeP79sveIR6Mbz6VJohaMTnBfsU8Zv31rv5Y7rqVAewGU9meYvUgAikAZjeKgTAqPwIscjDa0w/rNJcRh3ZMk3Bdy/UoC4mjSFM+zkIo1opKe+nOFxvlHZfUj+4+U2aP2ig9CtoexoCe4IN/jtCUtPbXRMzqtLDCTCIg/qZD8LQeNBZcwaTcA4c9ThYEX/uQdK8Ls8TXKedgdIS/hYtcgvZf4SLrLcahJyH6Y3tgJ1LnDZCw==”

17.遍历磁盘,如下所示:

扫除以下目录下,响应的目录列表,如下所示:

WINDOWS、RECYCLER、Program Files、Program Files(x86)、Windows、Recycle.Bin、RECYCLE.BIN、Recycler、TEMP、APPDATA、Temp、Appdata、ProgramData、Microsoft、Burn

18.加密响应的文件,轮回遍历磁盘目录下的子文件,如下所示:

打开单个文件作为文件数据流,如下所示:

读取到的未加密的文件,如下所示:

判断文件的后缀名是不是LNK后缀的,同时文件名字符串是否包孕README_,如下所示:

上一页[1] [2] [3]下一页

判断原文件的内容着末字节是否包孕###,如下所示:

获取文件信息,如下所示:

读取文件内容,如下所示:

加密读取到的文件内容,如下所示:

响应的加密算法,如下所示:

应用的加密算法为AES+RSA密钥的要领,如下所示:

将加密的数据,写入到原文件数据流中,如下所示:

然后关闭数据流文件,把加密后的数据写入到原文件中,获取原文件的路径,如下所示:

天生新的文件名转化为Base64编码,如下所示:

再将加密特性字符串写入到文件未尾,如下所示:

然后调换到原文件,如下所示:

到此全部加密文件的历程如上所示。

19.加密后的文件,如下所示:

20.在每个加密文件目录下天生一个打单信息文本文件README_[加密特性数字].txt,打单相关信息,如下所示:

三、办理规划

笃信服安然团队提醒广大年夜用户,打单病毒以防为主,今朝大年夜部分打单病毒加密后的文件都无法解密,留意日常警备步伐:

1.不要点击滥觞不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁(永恒之蓝破绽补丁),修复响应的高危破绽

3.对紧张的数据文件按期进行非本地备份

4.只管即便关闭不需要的文件共享权限以及关闭不需要的端口,如:445,135,139,3389等

5.RDP远程办事器等连接只管即便应用强密码,不要应用弱密码

6.安装专业的终端安然防护软件,为主机供给端点防护和病毒检测清理功能

四、IOC

MD5

CFE68A305215291A691E6E7D3181AB7B

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包