360互聯網安全中心監控到,已經沉寂一段時間的CryptoLocker(文檔加密敲詐者)類木馬,本月初在國內又開始傳播感染。本次傳播的木馬是之前CTB-Locker木馬的一個變種,在加密文檔之后,會在文檔文件名之后加入“.vvv”,該病毒也因此被稱為VVV病毒。
經分析,該木馬的核心加密功能,是根據臭名昭著的TeslaCrypt(特斯拉加密者,與那個電動汽車廠商沒有任何關系)的最新版本改寫而來。TeslaCrypt從今年2月份正式“出道”以來,已經經過了8個版本的迭代。其中前4個版本加密后的文檔都可以通過工具恢復,但從第5版開始則無法再恢復。且其第5版和第7版都曾在國內有過不同規模的爆發。
此次病毒事件主要的傳播地區在日本,twitter上搜索“vvvウイルス”已經鬧翻了天了:
而我國出現該病毒完全屬于“躺槍”。之所以說是“躺槍”,其實看下對方的勒索要求就很明顯了。對方給出了四個所謂的“私人頁面(PersonalPages)”要求你去訪問并獲取交易信息。但實際上這四個網站的域名分別為:
encpayment23.com
expay34.com
hsh73cu37n1.net
onion.to
這其中,只有最后一個onion.to可以訪問,但這是一個“TorHiddenServicesGateway”,也就是說這是一個用洋蔥路由的方式專門用來隱藏背后真實服務商的網站,并且還需要你安裝一個所謂的“TorBrowser”進入洋蔥網絡才能正常瀏覽,于是:
幾個小時過去了……然后就沒有然后了……也就是說即便我想要老老實實的交付贖贖金,也是一個不可能完成的任務。
不只是不能訪問的頁面,根據我們的監控數據看,也印證了該木馬并非針對中國而來——剛剛進入12月的時候木馬感染量有過一次小規模的上漲,而最近幾天的傳播量更是創了一個新高。但即便如此每天的木馬活躍了也沒有超過100個,所以說總體而言該木馬在我國并沒有真正意義上的“爆發”起來。
而國內中招用戶大部分也是通過比較傳統的途徑感染的木馬——電子郵件:
郵件聲稱你有一筆未償欠款,如果逾期不還的話,會產生7%的利息。而附件中所謂的“單據副本”其實就是這個木馬。多么典型的詐騙內容——“您有欠款”、“您欠電話費了”、“您有未接收的快遞”、“您有法院傳票”……看來用這樣的說辭并非國人的專利。但全篇的英語又有幾個人會去仔細看完然后點開附件呢?這也就是在國內傳播量很小的主要原因。
而實際上,該木馬在國外的傳播途徑不僅僅是郵件傳播,也包括一部分通過網頁掛馬(以去年最后的CVE-2014-6332和今年出鏡率最高的CVE-2015-5122這兩個漏洞的利用為主)來實現的木馬傳播,但由于經常訪問的網站有很大不同,所以在國內因為網頁掛馬導致感染該木馬的情況并不多見。
樣本最開始的來源是一個偽裝成發票單的js腳本
咋看內容是一堆亂碼:
對其格式稍加調整之后,可以發現,其實就是一些字符的混淆,最后通過eval函數執行。
直接將其eval的內容log輸出,就能看到真正執行的代碼了,功能比較簡單,只是一個木馬下載器
樣本本身帶有一個簡單的保護殼,啟動后,會檢測自身路徑,如果不在%appdata%下,會將自身拷貝過去,并再次啟動,之后刪除之前的木馬文件,達到隱藏自身的目的。
木馬在%appdata%下執行之后,會再次啟動自身,解密隱藏的代碼,注入到啟動的這個子進程中:
木馬使用這種方法,試圖繞過傳統特征碼定位引擎的查殺,解碼出來的程序是真正的木馬工作部分:
木馬的整體流程控制上,和之前的ctb-locker比較相似:
由于這個模塊是通過注入方式執行的,啟動后會通過GetProcAddress找到找到所需的系統API:
木馬在感染之前,會先將自身寫入啟動項,保證下次開機仍能夠啟動!
木馬中配置等各類地址,都經過了重新編碼,用來對抗分析:
解碼出的內容包括木馬控制服務器,密鑰交換時提及的信息結構:
0012DD0C 00CD1B18 ASCII "Sub=%s&key=%s&dh=%s&addr=%s&size=%lld&version=%s&OS=%ld&ID=%d&gate=%s&ip=%s&inst_id=%X%X%X%X%X%X%X%X"
0012DC98 01062040 ASCII "http://crown.essaudio.pl/media/misc.php"
0012DCF0 01061F38 ASCII "http://graysonacademy.com/media/misc.php"
0012DD04 01061E30 ASCII "http://grupograndes.com/media/misc.php"
0012DD18 01061D28 ASCII "http://grassitup.com/media/misc.php"
密鑰生成方式和之前的CTB-Locker一致,都是通過ECDH生成,如果沒有服務器上的私鈅目前無法獲取到加密密鑰。
文件加密過程中,會排除掉帶有.vvv擴展名的文件和帶有recove的文件:
加密如下190種類型的文件:
|.r3d|.ptx|.pef|.srw|.x3f|.der|.cer|.crt|.pem|.odt|.ods|.odp|.odm
|.odc|.odb|.doc|.docx|.kdc|.mef|.mrwref|.nrw|.orf|.raw|.rwl|.rw2
|.mdf|.dbf|.psd|.pdd|.pdf|.eps|.jpg|.jpe|.dng|.3fr|.arw|.srf|.sr2
|.bay|.crw|.cr2|.dcr|.ai|.indd|.cdr|.erf|.bar|.hkx|.raf|.rofl|.dba
|.db0|.kdb|.mpqge|.vfs0|.mcmeta|.m2|.lrf|.vpp_pc|.ff|.cfr|.snx
|.lvl|.arch00|.ntl|.fsh|.itdb|.itl|.mddata|.sidd|.sidn|.bkf|.qic
|.bkp|.bc7|.bc6|.pkpass|.tax|.gdb|.qdf|.t12|.t13|.ibank|.sum|.sie
|.zip|.w3x|.rim|.psk|.tor|.vpk|.iwd|.kf|.mlx|.fpk|.dazip|.vtf
|.vcf|.esm|.blob|.dmp|.layout|.menu|.ncf|.sid|.sis|.ztmp|.vdf|.mov
|.fos|.sb|.itm|.wmo|.itm|.map|.wmo|.sb|.svg|.cas|.gho|.syncdb
|.mdbackup|.hkdb|.hplg|.hvpl|.icxs|.docm|.wps|.xls|.xlsx|.xlsm
|.xlsb|.xlk|.ppt|.pptx|.pptm|.mdb|.accdb|.pst|.dwg|.xf|.dxg|.wpd
|.rtf|.wb2|.pfx|.p12|.p7b|.p7c|.txt|.jpeg|.png|.rb|.css|.js|.flv
|.m3u|.py|.desc|.xxx|.wotreplay|wallet|.big|.pak|.rgss3a|.epk|.bik
|.slm|.lbf|.sav|.re4|.apk|.bsa|.ltx|.forge|.asset|.litemod|.iwi
|.das|.upk|.d3dbsp|.csv|.wmv|.avi|.wma|.m4a|.rar|.7z|.mp4|.sql|
在對文件加密完成之后,會對加密好的文件進行重命名,加入vvv擴展名:
和其它木馬判斷完整進程名不同,這個木馬會判斷系統是否運行有程序,帶有askmg,rocex,egedi,sconfi,cmd這些關鍵詞的程序,如果帶有,就結束這些程序,實際上對應的是procexp.exe,taskmgr.exe之類的輔助分析工具等。
加密完成后,會在被加密文件夾下生成:
最后敲詐者展示這個勒索頁面:
由于一旦中招,機器中的所有資料全會被加密,并且完全無法恢復(如上所說,即便你愿意付贖金,也可能無處可付),所以對此類木馬的警惕性依然是非常有必要的。用戶在使用計算機的過程中,對重要文件,最好進行隔離備份,減小各類應病毒木馬攻擊,程序異常,硬件故障等造成的文件丟失損失。同時也要養成良好的習慣,不要隨意打開陌生郵件的附件。安裝具有文檔防護功能的安全軟件,對于安全軟件已經提示風險的程序,不要繼續執行。