近日,深信服安全团队捕获到一起通过捆绑软件运行勒索病*的事件。勒索病*与正常的应用软件捆绑在一起运行,捆绑的勒索病*为STOP勒索病*的变种,加密后缀为.djvu。
病*名称:STOP勒索病*
病*性质:勒索病*
危害等级:高危
传播方式:恶意捆绑软件
病*分析
01
勒索病*母体携带者
cexplorer.exe是被捆绑了恶意软件的安装包,使用ResourceHacker查看其资源,可以发现其中夹藏着两个PE文件。
cexplorer.exe运行会将两个PE文件释放,如下图所示:
随后运行两个PE文件,如下图所示:
运行C:\Users\xxxx\AppData\Roaming\cexplorer.exe,为ChameleonExplorer的安装包。
安装成功后即能使用,该软件是个文件系统管理软件。
C:\Users\xxxx\AppData\Roaming\update.exe,为勒索病*体,运行后完成勒索。如下图:
02
勒索病*母体
1.勒索病*母体是一个Loader加载器,如下所示:
2.通过调试,在内存中解密出PE,如下所示:
3.加载到内存的位置,然后执行相应的PE代码,如下图所示:
4.从内存中DUMP出完整的PE文件,是勒索病*的主体模块,获取主机的地理位置:
通过访问相应的网站,如果返回包含RU、BY、UA、AZ、AM、TJ、KZ、KG、UZ等国家代码,则进行自删除操作,如下所示:
5.拷贝相应的程序到appdata\local目录下的随机目录,如下所示:
然后创建定时触发任务计划:
相应的触发时间,如下所示:
相应的计划任务,如下所示:
6.查询自启动注册表项,如下所示:
然后设置相应的自启动项注册表项,如下所示:
7.获取进程运行的参数,如下所示:
然后设置相应的启动参数,启动进程,如下所示:
相应的代码,如下所示:
执行之后,再次判断程序运行的参数,通过相应的判断调用参数启动程序,进行勒索加密的过程,如下所示:
8.如果进程是按上面相应的参数运行的,就从内存中解密出相应的下载服务器地址列表,如下所示:
相应的恶意下载链接如下所示: