freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

使用AES-256加密算法的勒索软件SkidLocker分析 金币
2016-03-18 15:00:26

Clipboard Image.png

0x01 概述

SkidLocker勒索软件使用AES-256加密算法,通过检索文件信息的内容来加密不同类型的文件,勒索金额需要付款0.500639比特币(208.50美元)。

Clipboard Image.png

0x02 分析

在受害者主机创建"C:\Users\W7_MMD\ransom.jpg",”C:\User\W7_MMD\Desktop\ WindowsUpdate.bat “,"C:\Users\W7_MMD\Desktop\READ_IT.txt",运行C: \ Users \ W7_MMD \ Decrypter .exe运行两个HTTP POST请求的IP地址为:23227199175(美国),发送被感染的机器的详细信息:用户名(username),主机名(pcname)和一个标准密钥(servkey)与服务器进行通信: /createkeys.php:获取与该密码将被加密后的RSA密钥。/getamount.php:获取有关的金额信息支付检索文件:0.500639。

Clipboard Image.png

它利用了方法CreatePassword和getInt随机生成被加密文件的密码,密钥的长度是从这个链abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX YZ1234567890中取到的32个字符。

Clipboard Image.png

Clipboard Image.png

它利用了方法EncryptTextRSA和RSAENcrypt通过RSA协议对密码(新创建)进行加密;使用从C2服务器获得的公钥,大小为2048bit。

Clipboard Image.png

C&C服务器存储发送信息的密码(通过RSA协议加密),发送参数为“aesencrypted”,也许是一种混淆监控网络流量的分析人员的技术。/Savekey.php/update.php/finished.php

Clipboard Image.png

然后通过函数来选择不同的驱动器(分区),扫描这些驱动(C:\\ D:\\,E:\\,F:\\,G:\\ H:\\,I:\\,J:\\以及K:\\)在这些磁盘目录下搜索下列文件类型:.

TXT,.DOC,.DOCX,.xls,.xlsx,.PDF,.PPS,.PPT,.PPTX, ODT,.gif,.jpg,.png,.db,.csv,.SQL,.MDB,.sln,.PHP,.asp,.aspx,.html,.xml,.PSD,.FRM,.MYD ,.MYI,.DBF,.MP3,.MP4,.AVI,.MOV,.MPG,.rm,.WMV.m4a,.mpa,.WAV,SAV,.gam,.LOG,.ged ,.,.myo,.tax,.ynab,.ifx,.ofx,.qfx,.QIF,.qdf,.tax2013,.tax2014,.tax2015,.box,.ncf,NSF,.NTF,.lwp 。

文件夹C:\\Windows下的文件不加密。计算定义在文本中的SHA256哈希值作为密码并设置该新密码加密文件。算法利用AES加密; 发送存储在文件中的信息和长度为256个字节密码。使用接收到的数据访问并重写每个文件(加密的),。最后添加扩展名.locked。

Clipboard Image.png

 一旦修正的目标文件下载模块“执行Decrypter.exe”,这将被用于检索的加密信息,该可执行文件从IP地址服务器23.227.199.83(美国)获取。还可以从imgur.com下载和修改图像库壁纸(i.imgur.com/By3yCwd.jpg)。

Clipboard Image.png

在该Web服务器上查看内容,还可以看到其他类型的恶意软件。

Clipboard Image.png

在文件READ_IT.txt中的网站let-me-help-you-with-that.webnode.com用于给已支付赎金的受害者提供解密密码。

Clipboard Image.png

最后cuendo进程运行Decrypter.exe,随后从i.imgur.com/eROA81P.jpg下载修改后的壁纸,壁纸上保存着攻击者提供的密码。

Clipboard Image.png

0x03 释放文件

文件名称

ransom.exe / Size: 25.0 KB / VT

MD5

6fc471eb0a2ea50d6a3b689855a68c0a 

SHA1

a886411a5ab5f87732ab10ef098bad5bb305ec68 

SHA256

38cd5dc5601b401de1f53be12a1998e666c112ac62cc110dc1f1c91246a77817 filename: mm.exe / Size: 25.0 KB / VT MD5: 85a65cd0146355f1e3e42755e4feaeed SHA1: 03c2243acb5d48bb57b8ed2ed617b8f3199c7711 SHA256: af4802e84b5575ef2ade1ef103739afb7352807884dbf1ce7b7c770d994465f7 filename: mm1.exe / Size: 76.5 KB / VT MD5: f578c991d6dbc426103c119f8c97e577 SHA1: d06761ae89328fc73436bf08491b27b5980254cc SHA256: 6be813322ca2cfcd4a937a7087fb19d716c3e696d0f7ca442e67d5adb451aadc Filename: bb2old.exe / Size: 247.5 KB / VT MD5: 553c3faf060aaa2c083d66db468c1c70 SHA1: d8b09de3b0b4968d50ad2d4098d3a991c8c3373f SHA256: f6a74ead6c58e939050580889017f2d5e4a646980509de79c4fb151722388ec1 Filename: Decrypter.exe / size: 11.0 KB / VT MD5: bb78607edb2aaed95747319bd61258a8 SHA1: 07efccb34829a338b6fa2a45af15a151e736acdf SHA256: 9bcb2750326ba0880151f1f4ba524aae2915c54dbb75d949a8c35f95f80a253e

*参考来源:nyxbone.com,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 勒索软件 # SkidLocker
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦