火绒截获新型勒索病毒Spora 通过IE、Flash漏洞等方式传播

Mangosoft

一、 总述
近来，火绒实验室截获了一个新敲诈病毒Spora，经过缝隙和拐骗方法传达，除了加密被感染电脑的本机文件外（doc/ppt/psd/jpg……等各种文件类型），还会加密局域网同享文件夹中的文件，然后弹出窗口，向受害者讨取赎金。Spora运用缝隙和冒充网站弹窗传达。该病毒运用的第1个缝隙是IE缝隙，存在于IE9以上的浏览器版本中，该病毒运用的第2个缝隙是Flash缝隙。该病毒冒充的网站弹窗，仿照的是Chrome浏览器。因而，运用IE9/10/11、Flash Player和Chrome浏览器的用户要分外小心。该病毒团伙制造很多以假乱真的仿冒网站，经过baidu、谷歌等搜索引擎去传达。一有些受害者在拜访这些冒充网站时，Spora病毒经过缝隙进入用户电脑；另一有些受害者则是被这些冒充网站的Chrome浏览器弹窗所诈骗，这些弹窗谎称电脑短少HoeflerText字体，并提示用户下载装置字体文件，所谓的字体文件即是病毒。火绒安全团队剖析，Spora病毒未来可能会发生两种改变：首要，该病毒进入电脑经过两步，先下载病毒下载器，再由病毒下载器下载病毒，所以病毒团伙能够经过该病毒下载器下载各种新病毒。其次，病毒团伙制造仿冒网站时运用的是付费缝隙东西RIG EK，而RIG EK还供给别的多种服务，所以该敲诈病毒可能会呈现新的传达方法。广阔火绒用户不用忧虑，“火绒安全软件”默许敞开的监控功用即可阻拦该病毒的下载，坚持敞开火绒软件即可W美地防护Spora病毒，一起“火绒安全软件”也完成了晋级，能够完全查杀铲除该病毒。对于近来敲诈软件层出不穷的情况，火绒实验室再次提示广阔用户，装置合格的安全软件是电脑的最基本安全措施，坚持相应的安全设置和晋级功用，能够有用防护敲诈软件等各种恶性安全要挟。

二、传达方法
火绒近期截获到一组病毒样本，其经过如IE、Flash Player缝隙或许拐骗用户点击的方法进行歹意代码传达，其传达的歹意代码中包括有敲诈病毒。

1. 缝隙传达
病毒作者会将带有Flash缝隙或许IE缝隙的页面发布到互联网中，之后经过仿冒网址等手段，拐骗用户拜访带有缝隙的网站页面。在触发缝隙后IE进程会发动wscript.exe履行歹意脚本，下载歹意代码到本地进行履行。如下图所示：


通过对该缝隙页面进行解密以后，咱们得到了一段JavaScript代码，如下图所示：


将变量“s”中的数据用Base64算法进行解密之后，可以得到VBScript代码，在其脚本代码中存放有一个动态库。如下图所示：


VBScript代码中存放有一个动态库的二进制数据，根据其代码结构咱们得知该陈述中所提及的两个传达页面都是运用缝隙工具箱Rig EK生成的。Rig EK是一个专门制造钓鱼页面的浸透工具箱，工具箱会经过仿冒网址、挂马广告页面等多种手段进行病毒推送，虽然该工具箱的效劳费用高达每周150美元，可是其仍然在黑产市场中具有巨大的用户群。该工具箱会运用多种不一样缝隙进行传达，火绒截获样本中带有缝隙的HTML页面包含CVE-2016-0189的缝隙使用代码。该工具箱常常使用的缝隙，如下图所示：



该工具箱制造组织保护有数量巨大的病毒推送代{过}{滤}理域名，黑客仅需上载病毒Payload有些，就能够经过这些共享的代{过}{滤}理域名在互联网中传达自己的病毒程序。缝隙触发后会运转命令行履行歹意JScript代码。命令行参数，如下图所示： 依据我们的整理和剖析，其缝隙触发后运转的脚本为下载者病毒，能够依据病毒作者需要下载履行任意可履行文件或许动态库。其长途服务器中所寄存的病毒数据是进行过加密的，该歹意脚本会先将下载到的病毒数据寄存在内中进行解密，以后依据PE构造IMAGE_FILE_HEADER构造中的Characteristics属性判别下载到的PE文件是不是为动态库，假如是动态库则运用regsvr32.exe发动，假如不是动态库则直接运用cmd.exe履行。代码如下图所示：



2.  诈骗用户方法传达病毒作者仍然会以仿冒网站为拐骗用户拜访页面的首要方法，可是其下载运转病毒的方法却没有使用缝隙传达那么暴力，而是以诈骗用户点击的方法进行。在拜访带有网页时，用户会看到页面显示的字符全是乱码，过一秒以后会弹出仿冒的Chrome弹窗提示：未找到“HoeflerText”字体，需求下载履行Chrome_Font.exe，当浏览器弹出是否运转该文件时点击“是”。假如用户依照其提示的过程进行操作，终究会下载运转勒索病毒。如下图所示：



病毒作者会将其想要仿冒的网站页面代码通过保存页面，在下载到的网页代码中插入恶意脚本。如下图所示：



被插入恶意代码的网页加载时，JavaScript脚本会将所有“>”与“<”符号之间的字符内容全部替换为“�”，使页面中显示的所有字符全部变成乱码。如下图所示：



其相关代码，如下图所示：



其插入的恶意代码中包含一个仿冒的弹窗，该弹窗最初是不可见的。如下图所示：



仿冒Chrome界面的隐藏的弹窗

当页面运行到下图所示脚本时会延时一秒钟后JavaScript脚本会将弹窗的display属性置为可见。如下图所示：



延时弹出仿冒弹窗



弹出当用户点击“Update”按钮之后则会开始下载名为“Chrome_Font.exe”的勒索病毒，并弹出提示诱导用户运行该病毒。如下图所示：


诱导用户执行病毒




病毒作者伪造的Chrome组件升级窗口


如果用户点击“Update”按钮，就会下载名为“Chrome_Font.exe”的勒索病毒程序，在病毒被下载的同时还会弹出。如下图所示：



恶意代码弹出的提示窗口
三、Payload剖析
页面传播的病毒为敲诈病毒Ransom/Spora，该病毒近期在互联网中的传播速度呈上升趋势。因为用于加密要害数据的RSA公钥是病毒作者生成的，所以假如中毒用户想要康复被加密的数据文件，就只能经过交纳赎金的方法，获取到对应的RSA私钥进行解密。并且病毒不光会加密用户的本地文件，还会遍历局域网加密的文件格局，如下图所示：



加密的扩展名列表


该病毒初次运行会在 %APPDATA% 目录下释放名为系统所在盘符卷序号的文件，下文中为勒索数据文件。如下图所示：



释放文件

病毒加密文件过程中会在该文件中记录下相关数据，如当前勒索流程所处步骤、被加密的所有文件路径、加密中所生成的RSA公钥和加密后产生的ID，文件中所存放的数据都通过CryptProtectData函数进行过加密，并且以数据块形式进行存储。如下图所示：



数据文件结构


存放上述数据所涉到的相关代码，如下图所示：



依据数据块偏移写入数据


该文件的第一个数据块中记录着当时所要执行的敲诈过程，假如病毒在敲诈过程中意外退出，重新启动会持续执行器剩余流程。其流程共分为五个过程：1.      导入存放在PE镜像中的RSA公钥（下文中称MasterRSA公钥），以后遍历本地目录和网络共享，将需求加密的文件途径加密后存在在敲诈数据文件中，假如没有能够加密的文件则会在本地各盘符和网络共享中创建指向敲诈病毒的快捷方式，进行病毒传达。代码如下图所示：


2.     从头生成一组RSA密钥（Sub RSA 密钥），将公钥导出写入到敲诈数据文件中。生成敲诈描绘页面，页面中包含两个数据：a)     生成敲诈ID。ID是根据地域信息、加密信息数据整体的有些MD5和加密的各种类型文件数量生成的，将上述信息拼接后，将数字和“|”符号用字母进行替换，最后生出如“CH065-DDZTZ-TZTZT-RZTHY”相似的ID。如下图所示：



生成ID代码



字符替换



b)    加密的勒索状态相关数据，其中包括：Sub RSA 私钥、加密日期、系统用户名、地域信息、勒索病毒标记、加密各种类型文件的数量。数据使用其运行时生成的AES密钥进行加密，之后将该密钥用Master RSA 公钥进行加密之后将加密的AES密钥数据放与整体数据尾部，最后再用Base64算法进行一次加密防止数据被截断。数据内容如下图所示：


描述页面中数据存放的结构




结构数据的代码


3.     依据其记载的加密文件途径列表进行文件加密，每个文件加密是都会生成一份独立的AES密钥，进行文件加密后使用Sub RSA 公钥对AES密钥进行加密，再将加密后的AES密钥数据核算crc32，将两个数据按描绘次序拼接后，放置到被加密文件数据尾部，病毒在加密进程中会核算加密的AES密钥存放方位与最终四个字节的crc32值相符，假如相符阐明现已进行过加密，不再进行重复加密。被加密的文件数据最小为0x20个字节，最多为0x500000个字节。如下图所示：


被加密的文件数据结构



加密文件




判断是否被加密



文件数据加密




4.     删除系统还原点。删除注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\IsShortcut，使快捷方式不再具有左下角的特殊标记，为此后的病毒流程做准备。



代码展现




5.     翻开敲诈病毒描绘页面。6.     将本地磁盘根目录、桌面和网络共享中的文件夹放入具有躲藏文件特点的敲诈病毒，并将这些文件夹躲藏，以后创立同名的快捷方式。每次点击这些快捷方式后，会履行一段控制台命令，除了翻开同名文件夹外，还会运转敲诈病毒，然后到达其继续加密和局域网传达的意图。病毒为了履行时愈加荫蔽，其会将同目录下的敲诈病毒拷贝到%temp%目录进行履行，即便%temp%目录中的敲诈病毒履行时被安全软件查杀也不会影响其事前构造的目录构造，仍然能够驻留在用户计算机中。因为将前面流程中现已把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\IsShortcut键值删除，所以其快捷方式图标与目录图标完全相同。如下图所示：



快捷方式中包含的命令行

释放快捷方式代码

四、有关样本

病毒名	SHA256
Ransom/Spora.b	8a2eafed0b59841f76b0c23bddeb9e3cadfebba4c04a7d24694273642ffec109
TrojanDownloader/JS.NeutrinoEK.a	86e7dd5d2ed9077575e9cd666c42398a57068d5e7b74cc80bb8254b44cca1bff
Exploit/SWF.ExKit	cd3a17defe0a5c0ff35f6fccdcb33080eb06c02a6a628e5acda3f909a0b58997
Exploit/CVE-2016-0189	91c811fda9b159cb3fc442068c54afefbe9bd4ff40d44059dae5a33ee14da5ff
TrojanDownloader/HTML.Spora.a	6fbadd21f2dd8f2c14b3a0b1bce50a6899bad99035b2d34a7ec7c0c7ed7e2537

联系我时，请说是在 挂海论坛 上看到的，谢谢！

冷雨夜~

以前看帖从不回帖，后来发现， 这样不但会用掉我的海币， 而且还不厚道。