最新病毒库日期:
  • BadRabbit(坏兔子)勒索病毒详细分析报告
2017-10-26 11:59 来源:未知
【文章摘要】针对新型勒索病毒Bad Rabbit(坏兔子),的详细分析报告。
勒索病毒介绍24日,欧洲地区爆发新型勒索病毒Bad Rabbit(坏兔子),感染范围包含俄罗斯、乌克兰、德国等多个东欧国家。
病毒名称: Trojan.BadRabbit
病毒类型: 病毒/勒索软件。
MD5 37945C44A897AA42A66ADCAB68F560E0
B14D8FAF7F0CBCFAD051CEFE5F39645F
347AC3B6B791054DE3E5720A7144A977
1D724F95C61F1055F0D02C2154BBCCD3
FA1F941B8FB0492F33D6902F02D55B97
FBBDC39AF1139AEBBA4DA004475E8839
B4E6D97DAFD9224ED9A547D52C26CE02
传播途径: 恶意网页脚本下载,内网传播
影响系统: Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等。
该勒索软件主要通过伪装知名合法的网络升级程序下载传播,以及在一些流量较大的网站注入恶意的JavaScript脚本使访问者自动下载该勒索软件;该恶意软件也可以通过SMB(445端口)传播,但是他并没有利用永恒之蓝的漏洞进行传播,而是首先扫描内网查找指定的SMB共享,通过硬编码的用户名和密码进行爆破,之后便释放infpub.dat,cscc.dat文件并利用SCManager和rundll.exe执行恶意代码进行加密,此勒索软件复用了Petya的部分代码,在此家族中具有继承性。
病毒危害
该勒索病毒会加密文件,修改MBR使计算机无法正常使用,必须通过付费后得到密钥方能恢复计算机,相比之前爆发的勒索病毒,会使用户受到更多的损失。
文件系统变化:
1. 创建恶意文件
C:\WINDOWS\infpub.dat
C:\WINDOWS\cscc.dat
%ALLUSERSPROFILE%\dispci.exe
2. 在局域网的共享文件夹下释放恶意文件
系统注册表变化:
设置注册表键值用于配置启动服务。



网络症状

访问内部局域网拼接IP地址,尝试和内网主机进行139和445端口的socket通信。



样本详细分析报告

1. 该勒索软件通过注入网页脚本使访问者自动下载并运行恶意软件,通过该脚本可以发现其POST地址为185.149.120.3(目前已经无法访问)。

2. 通过伪装成知名软件使用户下载安装最终达到传播目的,例如伪装成下载名为install_flash_player.exe的升级文件。


3. 创建恶意文件infpub.dat并带参数执行。


4. 对自身进程进行提权操作。


5. 拷贝自身代码到堆内存中并在堆中执行程序代码。

6. 根据当前主机名称生成字符串并创建以此为名的互斥体。

7. 判断恶意文件cscc.dat是否存在,若存在则退出进程不执行后续的加密操作,不存在则在windows目录下创建该文件开始后续主要恶意行为。

8. 拷贝系统令牌信息并和自身令牌信息进行校验,若不存在或权限不足则退出自身。

9. 创建锁屏文件并设置计划任务。



10.设置关机计划任务。

11. 访问内部局域网拼接IP地址,尝试和内网其他主机进行139和445端口的socket通信。



12.释放文件到局域网共享文件夹下。


13. 加载释放的恶意文件cscc.dat,创建服务并启动,在服务运行完成之后执行自删除操作。


14. 遍历文件并对指定的后缀名文件进行加密操作。



15. 执行完加密操作后在磁盘根目录下生成txt文档,并将收费提示信息写入。


6. 当执行完加密操作后修改MBR,重启后执行弹出窗口提示用户付费解密磁盘文件。

17 . 通过提供的安装Key生成bitcoin地址,用户付费后便得到一个解密密钥。

18. 该加密算法使用的是用于驱动加密的开源加密算法DiskCryptor,密钥由CryptGenRandom生成,而后通过硬编码的RSA 2048位公共密钥?;?,加密后文件扩展名均改为.encrypted。
19. 该勒索软件还在代码中硬编码了用户名和密码用于枚举局域网的SMB共享,通过局域网感染攻击更多主机,每次通过一个用户名依次去枚举所有的密码列表,通过匹配到合适的弱口令主机,然后将病毒文件拷贝到目标主机,枚举过程示例: 用户名Adminstrator依次用Administrator,administrator,Guest……去尝试连接弱口令主机,依据用户名和密码列表可计算枚举次数为:29x50=1450次。


相关服务器信息分析:
支付地址: //caforssztxqzf2nm.onion
注入URL: //185.149.120.3/scholargoogle/
下载URL: //1dnscontrol.com/flash_install.php
被注入网站地址:
//argumentiru.com
//www.fontanka.ru
//grupovo.bg
//www.sinematurk.com
//www.aica.co.jp
//spbvoditel.ru
//argumenti.ru
//www.mediaport.ua
//blog.fontanka.ru
//an-crimea.ru
//www.t.ks.ua
//most-dnepr.info
//osvitaportal.com.ua
//www.otbrana.com
//calendar.fontanka.ru
//www.grupovo.bg
//www.pensionhotel.cz
//www.online812.ru
//www.imer.ro
//novayagazeta.spb.ru
//i24.com.ua
//bg.pensionhotel.com
//ankerch-crimea.ru

应对措施及建议

1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。
3. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
4. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
5. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
6. 安装江民杀毒软件升级到最新病毒库,并开启实时监控功能。


江民杀毒软件在第一时间拦截到“坏兔子”病毒,并进行查杀,下载地址://www.x61z.com.cn/personal/suzhi/
7. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
  • 积极语用:学术评价的重要维度(1) 2018-12-15
  • 《阿古顿巴》藏语版在藏语卫视首播 2018-12-15
  • 机构投资者应合理审慎报价 2018-12-14
  • 打造上合组织命运共同体 成员国应积极推动理念与实践 2018-12-14
  • 今年的杨梅个大,但回味小 2018-12-13
  • 2017地方频道-各地学习十九大精神--河南频道--人民网 2018-12-13
  • 新疆旅游推介会亮相北京 2018-12-10
  • 青海投资1.12亿元打造生态循环农牧业项目 2018-12-10
  • 社交短视频:“抖”起来 沉下去 2018-12-05
  • 塔里木油田:沙漠深处谱写科技生态篇章 2018-11-24
  • 不好意思了,忘记还有赌球一说。[哈哈] 2018-11-24
  • 经合组织专家:中国坚持改革开放对全球化进程至为重要 2018-11-21
  • “善款资助副局长儿子留学”真相须尽快落地 2018-11-21
  • 郭树清:收益率超6%要打问号 让庞氏骗局无所遁形 2018-11-18
  • 西藏积极开展防沙治沙宣传 建设美丽西藏 2018-11-15
  • 363| 813| 581| 566| 575| 958| 488| 742| 182| 329|