β

.java 后缀勒索病毒分析报告

奇虎360技术博客 239 阅读

更多详情请点击360勒索病毒专题页: http://lesuobingdu.360.cn

0x01:前言

近期,接到许多用户反馈,.JAVA后缀的勒索病毒感染了很多的用户电脑,我们在第一时间捕获样本并对样本进行了分析,该勒索病毒属于一个种族的变种,和前几个月活跃的阿琳娜(arena)属于一个种族,由于使用了高强度的算法,所以,在作者公布密钥之前并不可以被解密。

0x02:样本分析

  1. 样本开始加密后,会将找到的文件路径集合放入一个结构体中,同时创建线程,将结构体指针当做参数传入线程中。

  1. 样本开始初始化文件名字,并寻找最后一个’\’以及’.’的所在位置,即寻找文件名以及文件扩展名并进行保存。

  1. 判断文件后缀是否为.java,如果是,则进行跳过:

  1. 生成被加密后的文件名,随机生成16个字节的IV

  1. 传入参数,并对文件开始进行加密

  1. 获取文件大小,如果文件大小小于0x180000则进行跳转:

  1. 样本首先会对文件的原属性进行保存,并判断原文件是否具有只读属性,如果具有,则将只读属性去掉。

  1. 创建被加密后的文件,并判断是否已经生成成功,如果生成失败,则判断是否文件已经存在,跳转退出,如果创建成功,则根据传进来的结构体参数进行生成AES密钥

  1. 读取文件内容,如果读取失败,则跳转结束,如果读取成功,对读取的字节进行0x10大小对齐,并保存补齐字节数,对读取的内容进行AES加密

  1. 写入文件后,对文件进行下一次的读取加密等循环操作:

  1. 文件加密后,会在跳过4字节后写入2,再写入0x417afe0c,在相对于追加信息偏移0x18的位置,写入0x20,判断文件名是否为空,如果不为空则将原文件名考入相对于追加信息0x20的位置,在跳过文件名长度后的位置,写入6字节的加密ID

  1. 之后写入20字节结构体中的数据,再写入16字节的IV,在写入4字节的补全字节

  1. 最后写入0x80结构体中被公钥加密的秘钥,再写入4字节的0x20加上原文件名长度大小。

  1. 设置文件结尾后,关闭句柄,设置被加密的文件属性为原文件属性,删除源文件

  1. 清空AES密钥,加密结束

0x03: 后记

当被该勒索病毒加密后,首先安装360安全卫士,结束掉勒索病毒程序防止再次感染,并打开功能大全下的文件恢复对电脑数据进行恢复,恢复完毕后需要扫描全盘,对勒索病毒进行清除。

作者:奇虎360技术博客
分享奇虎360公司的技术,与安全的互联网共同成长。
原文地址:.java 后缀勒索病毒分析报告, 感谢原作者分享。

发表评论