最新病毒库日期:
  • BadRabbit(坏兔子)勒索病毒详细分析报告
2017-10-26 11:59 来源:未知
【文章摘要】针对新型勒索病毒Bad Rabbit(坏兔子),的详细分析报告。
勒索病毒介绍24日,欧洲地区爆发新型勒索病毒Bad Rabbit(坏兔子),感染范围包含俄罗斯、乌克兰、德国等多个东欧国家。
病毒名称: Trojan.BadRabbit
病毒类型: 病毒/勒索软件
MD5 37945C44A897AA42A66ADCAB68F560E0
B14D8FAF7F0CBCFAD051CEFE5F39645F
347AC3B6B791054DE3E5720A7144A977
1D724F95C61F1055F0D02C2154BBCCD3
FA1F941B8FB0492F33D6902F02D55B97
FBBDC39AF1139AEBBA4DA004475E8839
B4E6D97DAFD9224ED9A547D52C26CE02
传播途径: 恶意网页脚本下载,内网传播
影响系统: Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等。
该勒索软件主要通过伪装知名合法的网络升级程序下载传播,以及在一些流量较大的网站注入恶意的JavaScript脚本使访问者自动下载该勒索软件;该恶意软件也可以通过SMB(445端口)传播,但是他并没有利用永恒之蓝的漏洞进行传播,而是首先扫描内网查找指定的SMB共享,通过硬编码的用户名和密码进行爆破,之后便释放infpub.dat,cscc.dat文件并利用SCManager和rundll.exe执行恶意代码进行加密,此勒索软件复用了Petya的部分代码,在此家族中具有继承性。
病毒危害
该勒索病毒会加密文件,修改MBR使计算机无法正常使用,必须通过付费后得到密钥方能恢复计算机,相比之前爆发的勒索病毒,会使用户受到更多的损失。
文件系统变化:
1. 创建恶意文件
C:\WINDOWS\infpub.dat
C:\WINDOWS\cscc.dat
%ALLUSERSPROFILE%\dispci.exe
2. 在局域网的共享文件夹下释放恶意文件
系统注册表变化:
设置注册表键值用于配置启动服务。



网络症状

访问内部局域网拼接IP地址,尝试和内网主机进行139和445端口的socket通信。



样本详细分析报告

1. 该勒索软件通过注入网页脚本使访问者自动下载并运行恶意软件,通过该脚本可以发现其POST地址为185.149.120.3(目前已经无法访问)。

2. 通过伪装成知名软件使用户下载安装最终达到传播目的,例如伪装成下载名为install_flash_player.exe的升级文件。


3. 创建恶意文件infpub.dat并带参数执行。


4. 对自身进程进行提权操作。


5. 拷贝自身代码到堆内存中并在堆中执行程序代码。

6. 根据当前主机名称生成字符串并创建以此为名的互斥体。

7. 判断恶意文件cscc.dat是否存在,若存在则退出进程不执行后续的加密操作,不存在则在windows目录下创建该文件开始后续主要恶意行为。

8. 拷贝系统令牌信息并和自身令牌信息进行校验,若不存在或权限不足则退出自身。

9. 创建锁屏文件并设置计划任务。



10.设置关机计划任务。

11. 访问内部局域网拼接IP地址,尝试和内网其他主机进行139和445端口的socket通信。



12.释放文件到局域网共享文件夹下。


13. 加载释放的恶意文件cscc.dat,创建服务并启动,在服务运行完成之后执行自删除操作。


14. 遍历文件并对指定的后缀名文件进行加密操作。



15. 执行完加密操作后在磁盘根目录下生成txt文档,并将收费提示信息写入。


6. 当执行完加密操作后修改MBR,重启后执行弹出窗口提示用户付费解密磁盘文件。

17 . 通过提供的安装Key生成bitcoin地址,用户付费后便得到一个解密密钥。

18. 该加密算法使用的是用于驱动加密的开源加密算法DiskCryptor,密钥由CryptGenRandom生成,而后通过硬编码的RSA 2048位公共密钥保护,加密后文件扩展名均改为.encrypted。
19. 该勒索软件还在代码中硬编码了用户名和密码用于枚举局域网的SMB共享,通过局域网感染攻击更多主机,每次通过一个用户名依次去枚举所有的密码列表,通过匹配到合适的弱口令主机,然后将病毒文件拷贝到目标主机,枚举过程示例: 用户名Adminstrator依次用Administrator,administrator,Guest……去尝试连接弱口令主机,依据用户名和密码列表可计算枚举次数为:29x50=1450次。


相关服务器信息分析:
支付地址: http://caforssztxqzf2nm.onion
注入URL: http://185.149.120.3/scholargoogle/
下载URL: http://1dnscontrol.com/flash_install.php
被注入网站地址:
http://argumentiru.com
http://www.fontanka.ru
http://grupovo.bg
http://www.sinematurk.com
http://www.aica.co.jp
http://spbvoditel.ru
http://argumenti.ru
http://www.mediaport.ua
http://blog.fontanka.ru
http://an-crimea.ru
http://www.t.ks.ua
http://most-dnepr.info
http://osvitaportal.com.ua
http://www.otbrana.com
http://calendar.fontanka.ru
http://www.grupovo.bg
http://www.pensionhotel.cz
http://www.online812.ru
http://www.imer.ro
http://novayagazeta.spb.ru
http://i24.com.ua
http://bg.pensionhotel.com
http://ankerch-crimea.ru

应对措施及建议

1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。
2. 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。
3. 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
4. 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
5. 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
6. 安装江民杀毒软件升级到最新病毒库,并开启实时监控功能。


江民杀毒软件在第一时间拦截到“坏兔子”病毒,并进行查杀,下载地址:http://www.jiangmin.com/personal/suzhi/
7. 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
8. 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。