SamSam勒索病毒變種預警

概述

最近，美國亞特蘭大市的多家公司及個人計算機遭到了大規模的勒索軟體攻擊，官方甚至聲明：「與該市打過交道的每家公司或每個人都面臨險境」。

深信服EDR安全團隊研究發現，這次病毒是SamSam家族的勒索病毒變種，它是以.Net語言編寫的。樣本採用RSA2048加密演算法將系統中大部分的文檔文件加密為.breeding123後綴的文件，然後對用戶進行勒索。該變種跟以往SamSam病毒的不同之處在於，其使用RDP爆破進行傳播，因此，開啟了RDP協議且使用弱密碼的用戶將受到潛在風險。

當用戶點擊此病毒後，病毒開始加密系統文件，然後在桌面創建多個勒索信息的html文件，並顯示勒索提示框：

病毒分析

樣本主體分析

(1)樣本採用.NET語言進行編寫的，去混淆，如下圖所示：

(2)通過JetBrains dotPeek可以反彙編得到相應的.NET源碼，如下圖所示：

(3)解密相關的字元串，將SALT key傳入解密函數，進行解密，如下圖所示：

(4)解密的相關函數，反彙編代碼如下所示：

(5)通過前面的解密字元串函數，得到後面加密的文件類型，動態調試如下所示：

加密的文件類型列表：

.vb,.asmx,.config,.3dm,.3ds,.3fr,.3g2,.3gp,.3pr,.7z,.ab4,.accdb,.accde,.accdr,.accdt,.ach,.acr,.act,.adb,.ads,.agdl,.ai,.ait,.al,.apj,.arw,.asf,.asm,.asp,.aspx,.asx,.avi,.awg,.back,.backup,.backupdb,.bak,.lua,.m,.m4v,.max,.mdb,.mdc,.mdf,.mef,.mfw,.mmw,.moneywell,.mos,.mov,.mp3,.mp4,.mpg,.mrw,.msg,.myd,.nd,.ndd,.nef,.nk2,.nop,.nrw,.ns2,.ns3,.ns4,.nsd,.nsf,.nsg,.nsh,.nwb,.nx2,.nxl,.nyf,.tif,.tlg,.txt,.vob,.wallet,.war,.wav,.wb2,.wmv,.wpd,.wps,.x11,.x3f,.xis,.xla,.xlam,.xlk,.xlm,.xlr,.xls,.xlsb,.xlsm,.xlsx,.xlt,.xltm,.xltx,.xlw,.xml,.ycbcra,.yuv,.zip,.sqlite,.sqlite3,.sqlitedb,.sr2,.srf,.srt,.srw,.st4,.st5,.st6,.st7,.st8,.std,.sti,.stw,.stx,.svg,.swf,.sxc,.sxd,.sxg,.sxi,.sxm,.sxw,.tex,.tga,.thm,.tib,.py,.qba,.qbb,.qbm,.qbr,.qbw,.qbx,.qby,.r3d,.raf,.rar,.rat,.raw,.rdb,.rm,.rtf,.rw2,.rwl,.rwz,.s3db,.sas7bdat,.say,.sd0,.sda,.sdf,.sldm,.sldx,.sql,.pdd,.pdf,.pef,.pem,.pfx,.php,.php5,.phtml,.pl,.plc,.png,.pot,.potm,.potx,.ppam,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.prf,.ps,.psafe3,.psd,.pspimage,.pst,.ptx,.oab,.obj,.odb,.odc,.odf,.odg,.odm,.odp,.ods,.odt,.oil,.orf,.ost,.otg,.oth,.otp,.ots,.ott,.p12,.p7b,.p7c,.pab,.pages,.pas,.pat,.pbl,.pcd,.pct,.pdb,.gray,.grey,.gry,.h,.hbk,.hpp,.htm,.html,.ibank,.ibd,.ibz,.idx,.iif,.iiq,.incpas,.indd,.jar,.java,.jpe,.jpeg,.jpg,.jsp,.kbx,.kc2,.kdbx,.kdc,.key,.kpdx,.doc,.docm,.docx,.dot,.dotm,.dotx,.drf,.drw,.dtd,.dwg,.dxb,.dxf,.dxg,.eml,.eps,.erbsql,.erf,.exf,.fdb,.ffd,.fff,.fh,.fhd,.fla,.flac,.flv,.fmb,.fpx,.fxg,.cpp,.cr2,.craw,.crt,.crw,.cs,.csh,.csl,.csv,.dac,.bank,.bay,.bdb,.bgt,.bik,.bkf,.bkp,.blend,.bpw,.c,.cdf,.cdr,.cdr3,.cdr4,.cdr5,.cdr6,.cdrw,.cdx,.ce1,.ce2,.cer,.cfp,.cgm,.cib,.class,.cls,.cmt,.cpi,.ddoc,.ddrw,.dds,.der,.des,.design,.dgc,.djvu,.dng,.db,.db-journal,.db3,.dcr,.dcs,.ddd,.dbf,.dbx,.dc2,.pbl

(6)遍歷磁碟，進行後面的加密文件操作，如下圖所示：

(7)加密文件，遍歷對應磁碟下的文件目錄，如果是下面這些目錄，則不進行後面加密操作，直接返回，相應的目錄如下：

c:windows

c:winnt

或者文件目錄中包含下面這些字元，同樣不進行加密操作，相應的字元串如下：

reference assembliesmicrosoft

recycle.bin

c:usersall users

c:documents and settingsall users

c:oot

c:usersdefault

反彙編代碼如下圖所示：

(8)定位到相應的文件目錄之後，開始遍歷裡面的文件，如果文件名擴展是下面這些文件名類型，則不進行後面的加密操作，相應的後綴名如下：

.breeding123 .search-ms .exe .msi .lnk

.wim .scf .ini .sys .dll

或者文件名是或者包含如下這些文件名：

Startinfo.bat followed2.vshost.exe READ-FOR-DECCC-FILESSS.html

Desktop.ini ntuser.dat search-ms

microsoftwindows appdata

以及文件的父路徑為C:，則都不進行後面的加密操作，反彙編代碼如下圖所示：

(9)如果文件名擴展名，為下面這些文件擴展名，則加密相應的文件，反彙編代碼如下：

加密後的文件名為原文件名+ .breeding123(後綴），如下圖所示：

整個加密過程的反彙編代碼如下所示：

(10)結束相應的sql資料庫進程，如下圖所示：

(11)在桌面創建10個勒索信息的html文件，文件名為：READ-FOR-DECCCC-FILESSS.（0-9）html，反彙編代碼如下所示：

傳播方式

這個勒索病毒主要通過暴力破解RDP的方式進行傳播，其不具備橫向感染的能力，不會對區域網的其他設備發起相應的攻擊。

加密演算法

該勒索病毒採用RSA2048加密演算法加密文件，目前暫沒有相應的解密工具。

預防措施

目前深信服EDR已經具備相應的檢測查殺能力，如圖所示：

深信服提醒用戶，日常防範措施：

1.不要點擊來源不明的郵件以及附件

2.及時給電腦打補丁，修復漏洞

3.對重要的數據文件定期進行非本地備份

4.安裝專業的終端/伺服器安全防護軟體

5.定期用專業的反病毒軟體進行安全查殺

6.SamSam勒索軟體主要利用RDP(遠程桌面協議）爆破進行攻擊，因此建議用戶關閉相應的RDP(遠程桌面協議）

7.盡量關閉不必要的文件共享許可權以及關閉不必要的埠，如：445,135,139,3389等

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！