Top
首頁 > 正文

【預警】勒索病毒Ouroboros開學來襲,持續更新惹人關注

隨著深入的分析,安全專家發現了黑客使用的FTP服務器,服務器上還存有Ouroboros勒索病毒變種文件,安全專家推測該勒索病毒目前正處在持續更新中,亞信安全將會持續關注該勒索病毒的動態。
發布時間:2019-09-03 14:48        來源:賽迪網        作者:

【賽迪網訊】近日,亞信安全截獲全新勒索病毒Ouroboros,此勒索病毒在加密文件完成后會添加.[ID=十位隨機字符][[email protected]].Lazarus的后綴,亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。隨著深入的分析,安全專家發現了黑客使用的FTP服務器,服務器上還存有Ouroboros勒索病毒變種文件,安全專家推測該勒索病毒目前正處在持續更新中,亞信安全將會持續關注該勒索病毒的動態。

勒索病毒Ouroboros詳細分析

安全專家分析發現,該勒索病毒源文件并未加殼:

使用IDA打開此文件,加載符號文件時發現病毒作者編譯程序留下的符號文件位置,以此確定此勒索病毒為Ouroboros:

初步分析,該勒索病毒中有大量的反調試函數,或者通過函數中包含return函數的形式增加病毒分析難度:

進入到程序關鍵函數,該勒索病毒會調用PowerShell程序,通過vssadmin delete shadows /all /y命令刪除卷影副本:

然后加載病毒中需要的信息,如郵箱信息,生成ID:

在地址40A000的位置,安全專家發現勒索病毒會進行進程遍歷,關閉與數據庫相關的進程:

該病毒使用了SFML(Simple and Fast Multimedia Library)網站的一個資源:http[:]//www[.]sfml-dev[.]org/ip-provider.php

訪問此網址后,可以獲取到訪問者的公網IP地址(圖中紅框位置為get請求包內容):

然而在此勒索病毒中,此網站成了用來獲取受害者IP的工具(為了正常分析,我在本地搭建了一個web,通過hosts將sfml-dev[.]org指向本地,圖中地址為本地web環境偽造的響應地址):

該病毒會嘗試建立與主機176.31.68.30的連接,等到程序收集了IP、ID、磁盤使用情況和key的信息后,一并發送給主機176.31.68.30,并且等待返回包。

該病毒不會在主線程中直接進行加密操作,而是將加密邏輯的函數地址作為參數傳遞給新創建的線程,新線程中獲取到對應參數,再進行跳轉執行。加密邏輯會遍歷磁盤上的文件夾,檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合條件,避免對這些文件或者目錄下的文件進行加密操作

否則其會讀取文件內容,開始在內存中對文件內容進行加密:

文件內容加密完成后,其會創建以下后綴的文件:[ID=十位隨機字符串][[email protected]].Lazarus

然后,其將加密內容寫入創建的帶后綴的文件中,隨后刪除未被加密的源文件:

完成勒索后,釋放勒索信息的文件Read-Me-Now.txt,文件內容如下:

普通勒索病毒到這里可能就已經完成了所有邏輯,但是安全專家做了靜態分析后發現,此病毒還會觸發ftp連接的操作,從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,啟動新的進程來執行此文件:

安全專家對下載的Uiapp.exe文件進行了簡單的分析,發現此程序沒有明顯的惡意行為,僅僅只是為了更加醒目的顯示勒索信息:

雙擊執行后,桌面會彈出如下的勒索信息界面:

安全專家還在176.31.68.30的ftp中發現了另一個exe文件:crypt.exe(該文件被檢測為Ransom.Win32.OUROBOROS.AA),依據文件名安全專家懷疑該文件是此次勒索病毒最初的來源,所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對比,發現并不一致:

但是經過進一步的分析發現,兩者代碼塊中的內容幾乎一致,僅僅只是編譯時間上的不同,crypt.exe的文件編譯時間較新,據此安全專家懷疑Ouroboros勒索病毒正在持續更新中,未來亞信安全會密切關注。

亞信安全教你如何防范

· 不要點擊來源不明的郵件以及附件;

· 不要點擊來源不明的郵件中包含的鏈接;

· 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

· 打開系統自動更新,并檢測更新進行安裝;

· 盡量關閉不必要的文件共享;

· 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

亞信安全產品解決方案

亞信安全病毒碼版本15.329.60,云病毒碼版本15.329.71,全球碼版本15.329.00已經可以檢測,請用戶及時升級病毒碼版本。

IOCs

MD5:

87283fcc4ac3fce09faccb75e945364c

e3caef2e2bdc4b08d625d4845f3205b6

專題訪談

合作站點
stat
漂亮猫咪试玩
捕鱼来了弹头回收价 黑龙江36选7今日开奖结果 qq麻将在哪里 5分彩走势图手机 中国期货配资网 中国福彩福建快3 刮刮乐一本一本买必亏 弈乐贵州捉鸡麻将 七乐彩号码基本走势图 资产配置之私募股权投资基金 快3预测与推荐 上证综指收益率公式 3d独胆王预测 德州麻将规则 今天六开彩开奖+结果 麻将技巧顺口溜大全