南京手机数据恢复最新成功案例南京数据恢复涉密数据恢复-电子取证
南京数据库修复南京硬盘恢复中数安盟-数据恢复专家数据恢复电子取证一体机
导读

敲诈勒索病毒HERMES

[复制链接]

微信扫一扫 分享朋友圈

admin 发表于 2018-1-4 13:59:01 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题

近日反病毒实验室截获一例,通过邮件传播有害文档,运行该文档后,会下载勒索软件,加密系统上的部分文件。

有害宏样本

通过邮件传播的样本是发送给benito.j{}ez@ed{}nik.es,该有害文档里包含有害宏代码,有效代码被混淆加密过,并且各模块里插入了大量的垃圾代码。

宏代码在文档被打开时通过调用Document_Open()执行,其中各模块有大量的垃圾代码,部分少量的有效代码(图1)

图1

通过分析简化,通用模板里有效代码如下:(图2)

图2

通过拼接字符串后,调用解密模块(已简化)(图3)

图3

最后将被解密后的字符串做最后一步调整(图4),并通过powershell调用如图5的代码,下载有害样本xxcvb.exe。

图4

图5


勒索样本HERMES 2.1[url=]现象[/url]

[url=]运行该勒索[/url]样本后,系统中大部分文档将会被加密。在每个目录下都会生成两个文件:

DECRYPT_INFORMATION.html

[url=]UNIQUE_ID_DO_NOT_REMOVE[/url]

在系统目录的用户目录下会生成一个PUBLIC文件,如:C:\Documents and Settings\DefaultUser\PUBLIC。

加密后的文件后缀也将改成.HRM,在勒索样本完成所有加密工作后,会运行DECRYPT_INFORMATION.html,现象如图6,提示用户大部分文档已被加密,通过邮件联系,支付比特币可以赎回文档。

图6

[url=]分析[/url]

该勒索软件的整体流程如下图:

图7

该勒索软件不对俄罗斯,白俄罗斯和乌克兰进行感染,怀疑作者是其中一个国家的公民,或者蓄意栽赃这三个国家。除此以外,系统目录如文件夹包含Windows,microsoft,Program,All Users,Default,$Recycle.Bin字样的目录不进行感染、勒索软件生成的文件不进行感染、文件后缀满足需求的才进行加密、同时针对同一个文件不会进行重复加密,加密文件的后缀共列举出6330种,部分如图8。

图8

该勒索软件的加密体系如图9,通过AES 和RSA算法构成的一套加密体系,从图中可看出被加密的文件只有病毒作者才能解开。

图9

完成加密后,释放Window.bat 文件,内容如下图,功能:删除卷影副本,修改卷影副本存储空间的大小,删除后缀为VHD,bac,bak,wbcat,bkf,set,win,dsk 和文件名包含Backup(backup)的文件。

图10

最后释放HTML文件,并运行,显示勒索信息。(图6)



您需要登录后才可以回帖 登录 | 注册

本版积分规则


30关注

15粉丝

660帖子

发布主题
推荐阅读更多+
广告位

关注我们:中数安盟

官方微信

APP下载

全国服务热线:

400-618-4118

地址:南京市珠江路435号华海大厦6楼606

电话:025-83608636 邮编:210006 Email:jointnj@126.com

Powered by Discuz! X3.2 Licensed© 2001-2013 Comsenz Inc.  威海迪恩网络科技有限公司 版权所有   苏ICP备06045618号

中数安盟-南京西数科技数据恢复中心  苏ICP备09074668号-2