近期,曾经猖獗一时的“密锁”病毒已升级为“密锁二代”,正以电子邮件的方式传播。该病毒已大面积入侵我国,电脑一旦中毒,硬盘中的所有办公文档、照片、视频等百余种文件将全部被深度加密,届时黑客将要求用户在96小时内向其支付8比特币(约合人民币1万元左右),否则将销毁密钥,文件将永久性损毁,且无法恢复。
1.样本信息
病毒会通过邮件附件传播,用户下载邮件附件打开后就会中毒。样本有多个变体,都为.src程序,运行后会打开屏幕保护设置,还会打开rtf文档达到欺骗性的目的。以下是样本图标截图跟样本运行后的截图。瑞星将之命名为Trojan.Win32.Filecoder.*
样本运行后截图:
2.分析样本
1..src程序只是一个引导程序,此程序有很多垃圾指令,阻碍样本分析,此程序开始自己解密自身代码,运行解密的代码,然后释放自身资源中所带的具有诱惑性的rtf文件并打开,让用户认为是很正常的程序。
2.之后程序会去指定网站下载真正的病毒样本,url下载地址有如下几个:
| hxxp://breteau-photographe.com/tmp/pack.tar.gzhxxp://voigt-its.de/fit/pack.tar.gzhxxp://maisondessources.com/assets/pack.tar.gzhxxp://jbmsystem.fr/jb/pack.tar.gzhxxp://pleiade.asso.fr/piwigotest/pack.tar.gzhxxp://scolapedia.org/histoiredesarts/pack.tar.gz[/pre] |
3.通过解密下载的压缩包,释放真正的病毒文件exe程序,并运行。
4.exe程序会拷贝自身到用户的%temp%/seqzdpm.exe目录,创建计划任务实现自启动。
5.设置注册表值
| HKEY_CURRENT_USER\\Control Panel\Desktop[WallpaperStyle] = [0][Wallpaper] = [%USERPROFILE%\My Documents\Decrypt All Files poztaei.bmp]HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitB...[IsUnicode] = [0x00000001]HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[(NULL)] = [%temp%\seqzdpm.exe][/pre] |
目的是为了显示勒索图片信息,并自身开机自启动。
6.将病毒代码注入svchost进程,在svchost中执行病毒体。注入的代码主要功能为遍历磁盘,查找文档,利用ASE算法将文件进行加密并以“原文件.几位随机字母”的格式更改文件名。
主要感染的文档有:doc,docx ,jpg,xls,xlsx,pdf等
7.改写文档,利用计算机启动时间,文件创建时间等作为随机种子生成KEY,再利用AES算法对文件进行加密。
8.最后修改桌面,显示勒索信息。以下是运行截图:
(责任编辑:钼铁)
