Phobos|够野!Phobos勒索病毒新变种一周内“攻陷”全球多国( 二 )
文章图片
zeVrk.exe解密资源段的AndroidStudio.dll文件数据 , 调用其导出函数StartGame()
文章图片
AndroidStudio.dll!StartGame解压缩解密并加载负责文件加密exe
2.“入室”窃取隐私数据 , 为潜在攻击打下头阵
一旦病毒变种入侵成功 , 其首先会在窃取目标电脑上CPU型号、声卡显卡等硬件信息 , 以及所属国家、IP地址、安装软件等用户信息后 , 将这些信息写入“system.txt”文件;同时还会尝试获取本机账户密码信息 , 并写入“password.txt”文件;也同样会将获取到的当前屏幕截图命名为“screenshot.jpg” 。 而后 , 其会将这三个文件打包为压缩文件回传木马服务器并删除本地的压缩包文件 , 而这些被窃取的用户信息很有可能为Phobos家族未来进一步的潜在攻击打下头阵 。
文章图片
system.txt中记录的受害者电脑信息
文章图片
压缩包记录受害者信息的各文件
3.花式绕过Windows Defender , 无视安全防护机制壁垒
该病毒变种还会通过木马服务器下载原始文件名为“Disable-Windows-Defender.exe”的程序来禁用Windows Defender的各功能 。 其方式包括:修改注册表关闭Windows Defender实时保护等功能 , 调用powershell执行“ Get-MpPreference -verbose”命令检查当前的Windows Defender设置 , 并尝试关闭指定的Windows Defender功能 。
文章图片
修改注册表关闭Windows Defender功能
文章图片
调用powershell关闭Windows Defender功能
4.“投机取巧”绕过UAC , 大肆执行恶意行为
计划任务中的SilentCleanup以普通用户权限即可启动 , 并且启动后自动提升为高权限 。 该病毒变种根据这一特点 , 利用计划任务中权限控制不严格的SilentCleanup来绕过用户账户控制UAC 。
文章图片
病毒变种利用SilentCleanup绕过UAC
5. 多重备份保证本地持久化 , 三大策略防止文件被恢复
病毒会将负责文件加密任务的zeVrk.exe文件拷贝到%LocalAppData%、%temp%以及开机启动Startup目录中 , 并添加zeVrk.exe文件路径到注册表启动项中 , 从而实现加密勒索的本地持久化 , 达到当用户重启计算机时再次扫描磁盘加密新文件的目的 。
文章图片
zeVrk.exe(原始文件名)所在目录
文章图片
病毒变种添加的注册表启动项
同时 , 为了防止加密文件的恢复 , 该病毒变种会通过以下命令来删除磁盘卷影备份, 修改启动策略以禁用 Windows启动修复, 以及删除windows server backup备份:
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
文件加密行为“面面俱到”
360安全大脑多维抵御安全风险
在加密文件的过程中 , 从AndroidStudio.dll资源段解密并加载的exe程序 , 会负责实质上的加密任务 , 其包含的功能有:文件占用解除 , “RSA+AES”算法加密等 。
勒索病毒变种首先通过进程快照枚举当前进程 , 并通过进程名匹配 , 结束掉可能造成文件占用从而影响加密的40余个进程 。
文章图片
病毒变种结束指定进程解除文件占用
随后木马会扫描当前机器的网络共享磁盘和本地磁盘 , 准备进行文件加密 。
文章图片
文章图片
扫描当前机器的UNC网络共享磁盘和本地磁盘
病毒会通过AES256算法为网络共享磁盘和本地磁盘生成32字节的AES密钥 。 然而实际上该密钥只有前16字节是以时间为因子和SHA256摘要算法获取的随机值 , 而后16字节取自病毒内置的攻击者RSA公钥的第17-32字节 。
推荐阅读
![[天空迷彩]英感慨白宫代价惨重,俄:这一天终于到来,中东13国一致拒绝美国](https://imgcdn.toutiaoyule.com/20200501/20200501010356526212a_t.jpeg)
- 重庆|如何界定“正当维权”与“敲诈勒索”?
- 保安捡到灰色泰迪被陷偷了白色泰迪,三男子恶意敲诈勒索8万元被抓
- 维权|如何界定“正当维权”与“敲诈勒索”?
- 女子遭裸照威胁找情人"平事儿" 不料勒索之人就是他
- 游戏账号|14岁男孩怕家长知其花钱玩游戏 被20岁网友勒索15万元
- 14岁男孩怕家长知其花钱玩游戏,被20岁网友勒索15万
- 买车还是找茬?二男子以旧伤敲诈勒索二手车店店主获刑
- 敲诈勒索|在西安城南欺行霸市 一“黑车”恶势力犯罪集团获刑
- 除恶|【扫黑除恶】开设赌场、寻衅滋事、敲诈勒索,恶势力团伙22人被判刑!
- 数字货币|乌克兰捣毁加密货币犯罪团伙:专为勒索软件团伙洗钱