南京手机数据恢复最新成功案例南京数据恢复涉密数据恢复-电子取证
南京数据库修复南京硬盘恢复中数安盟-数据恢复专家数据恢复电子取证一体机
导读

敲诈勒索病毒HERMES

[复制链接]

微信扫一扫 分享朋友圈

admin 发表于 2018-1-4 13:59:01 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题

近日反病毒实验室截获一例,通过邮件传播有害文档,运行该文档后,会下载勒索软件,加密系统上的部分文件。

有害宏样本

通过邮件传播的样本是发送给benito.j{}ez@ed{}nik.es,该有害文档里包含有害宏代码,有效代码被混淆加密过,并且各模块里插入了大量的垃圾代码。

宏代码在文档被打开时通过调用Document_Open()执行,其中各模块有大量的垃圾代码,部分少量的有效代码(图1)

图1

通过分析简化,通用模板里有效代码如下:(图2)

图2

通过拼接字符串后,调用解密模块(已简化)(图3)

图3

最后将被解密后的字符串做最后一步调整(图4),并通过powershell调用如图5的代码,下载有害样本xxcvb.exe。

图4

图5


勒索样本HERMES 2.1[url=]现象[/url]

[url=]运行该勒索[/url]样本后,系统中大部分文档将会被加密。在每个目录下都会生成两个文件:

DECRYPT_INFORMATION.html

[url=]UNIQUE_ID_DO_NOT_REMOVE[/url]

在系统目录的用户目录下会生成一个PUBLIC文件,如:C:\Documents and Settings\DefaultUser\PUBLIC。

加密后的文件后缀也将改成.HRM,在勒索样本完成所有加密工作后,会运行DECRYPT_INFORMATION.html,现象如图6,提示用户大部分文档已被加密,通过邮件联系,支付比特币可以赎回文档。

图6

[url=]分析[/url]

该勒索软件的整体流程如下图:

图7

该勒索软件不对俄罗斯,白俄罗斯和乌克兰进行感染,怀疑作者是其中一个国家的公民,或者蓄意栽赃这三个国家。除此以外,系统目录如文件夹包含Windows,microsoft,Program,All Users,Default,$Recycle.Bin字样的目录不进行感染、勒索软件生成的文件不进行感染、文件后缀满足需求的才进行加密、同时针对同一个文件不会进行重复加密,加密文件的后缀共列举出6330种,部分如图8。

图8

该勒索软件的加密体系如图9,通过AES 和RSA算法构成的一套加密体系,从图中可看出被加密的文件只有病毒作者才能解开。

图9

完成加密后,释放Window.bat 文件,内容如下图,功能:删除卷影副本,修改卷影副本存储空间的大小,删除后缀为VHD,bac,bak,wbcat,bkf,set,win,dsk 和文件名包含Backup(backup)的文件。

图10

最后释放HTML文件,并运行,显示勒索信息。(图6)



精彩评论2

迷药q微86450585 发表于 2018-1-23 01:23:42 | 显示全部楼层
哪里有春o0药买,★—【QQ微信同号86450585,绿源】—★全国货到付款,严密包装尊重隐私,不满意直接退款,为客户省去后顾之忧!!【招代理,投入三万,月入十万以上,市场需求大,酒吧夜场网吧ktv酒店】
迷药q微86450585 发表于 2018-2-4 02:20:03 | 显示全部楼层
女 用 催 情 药 哪 里 有 卖▇买★QQ微信同号86450585全国支持货到付款,安全隐私保护█信誉第一诚信合作。专业的品质,强劲的效果,回头客信赖。【国外进口老店】!【招代理,投入三万,月入十万以上,市场需求大,酒吧夜场网吧ktv酒店】
您需要登录后才可以回帖 登录 | 注册

本版积分规则


30关注

15粉丝

665帖子

发布主题
推荐阅读更多+
广告位

关注我们:中数安盟

官方微信

APP下载

全国服务热线:

400-618-4118

地址:南京市珠江路435号华海大厦6楼606

电话:025-83608636 邮编:210006 Email:jointnj@126.com

Powered by Discuz! X3.2 Licensed© 2001-2013 Comsenz Inc.  威海迪恩网络科技有限公司 版权所有   苏ICP备06045618号

中数安盟-南京西数科技数据恢复中心  苏ICP备09074668号-2