IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

Maktub Locker:美丽而又危险的勒索软件

发布时间:2016-04-05 20:14文章来源:网络整理文章作者: 学习网点击次数:
Maktub Locker是一款勒索软件,GUI界面设计的很漂亮,并且有着一些有趣的特征。勒索软件的原始名字来源于阿拉伯语言”maktub”,意思是“这是写好的”或者”这是命运”。作者很可能想通过这样的引用来描述勒索软件的…

图片1.png

Maktub Locker是一款勒索软件,GUI界面设计的很漂亮,并且有着一些有趣的特征。勒索软件的原始名字来源于阿拉伯语言”maktub”,意思是 “这是写好的”或者”这是命运”。作者很可能想通过这样的引用来描述勒索软件的行为,暗示这是不可避免的,就像命运一样。

0×01分析样本

 74add6536cdcfb8b77d10a1e7be6b9ef

 b24952857ff5cb26b2e97331800fa142 <- 主要分析这个样本

38eff2f7c6c8810a055ca14628a378e7 – payload (C.dll)

特别感谢 MalwareHunterTeam 和 Yonathan Klijnsma 提供的样本

0×02 行为分析

勒索软件通过邮件钓鱼活动,伪装成一个服务更新的文档文件。这次文档的主题很完整:附件的名字类似于( “TOS-update-[…].scr”, “20160321_tos.scr”),而且图标也类似于文档图标:

图片2.png

勒索软件使用的一个欺骗技巧是释放一个真正的文档,而且是一个TOS的更新说明,.rtf格式:

图片3.png 

当用户正在忙于阅读文档时,恶意程序就开始在后台运行,同时加密受害人的文件。

加密进程

Maktub Locker不需要从CnC服务器上下载密钥,数据可以在线下加密。加密文件的扩展名是随机的,在运行时生成,模式为:[a-z]{4,6}

比较新奇有趣的是,加密后的文件比原始文件更小。似乎勒索软件不仅仅加密而且还压缩。

原始文件和大小:

图片4.png 

加密后的文件:

图片5.png 

压缩文件的原因之一可能是加速文件加密过程。

不同的样本加密后的文件内容是不同的。然而,相同的文件加密后的文件是相同的。我们可以得出结论,程序运行一次随机密钥只会生成一次。之后,每个文件都会使用这个相同的密钥加密。

加密完成之后,就会弹出如下窗口:

图片6.png 

提供给受害人指定格式的key:82个,每个单元5个字符(单元格式:[A-Z0-9]{5})。样本文件再次运行时,key也会重新生成。

样本的信息也可以在一个HTML文件(_DECRYPT_INFO_[$EXTENSION].html)中找到。这个文件在每个目录中都会被释放。

为受害人准备的网址

Maktub Locker和其他勒索软件一样,都会提供一个TOR网址。和勒索软件描述的一样,网址只提供英文版的。为了让受害人能够访问到网站,需要在一个文档输入框内输入上述82单元块内的key:

图片7.png 

之后就会重新连接到主站。和其他勒索软件对比,Maktub Locker的网站设计的很好看,而且网站说明用辞很文明礼貌:

图片8.png 

在demo中可以选择解密两个文件:

图片9.png 

解密价格最低1.4BTC,并且随着时间的推移,价格也不断攀升。作者也会提示,如果太久不付款可能会导致文件永不恢复:

图片10.png 

0×03内部构造

Maktub Locker是通过crypter/FUD编写的,因此代码不可读。并且,由于FUD的功能,将会导致样本的检测变得更加困难,同时检测率在刚开始的一段时间内很低。

解压

执行FUD的起始代码。首先我们会看到大量的无用API的调用和随机字符串:

图片11.png 

这段代码用于绕过检测恶意病毒行为的工具。随后将会被新的代码重写。然而,这里依旧不是恶意代码,而是其他的绕过检测技术的代码。下面是解压TOS更新服务的代码(首先解压文件然后释放到%TEMP%文件夹中):

图片12.png 

真正的恶意代码在另一个模块当中,解压到一个动态分配的内存中:

图片13.png

可以看到2个线程入口:0×10001230。他们都属于恶意代码的模块。Dump下数据,可以看到一个新的PE文件:

图片14.png

这个PE文件动态分配在一个连续的内存区域,在一个虚拟节区被使用。


Maktub Locker:美丽而又危险的勒索软件
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/198639.html

标签分类:

Maktub Maktub Locker Maktub Locker
上一篇:上一篇:开发者的好帮手:可视化的差异合并工具Meld
下一篇: 下一篇:Petya:将勒索软件带向底层
无觅关联推荐,快速提升流量