使用AES-256加密算法勒索软件SkidLocker的分析

0×01 概述

SkidLocker勒索软件使用AES-256加密算法，通过检索文件信息的内容来加密不同类型的文件，勒索金额需要付款0.500639比特币（208.50美元）。

在受害者主机创建”C:\Users\W7_MMD\ransom.jpg”,”C:\User\W7_MMD\Desktop\ WindowsUpdate.bat “,”C:\Users\W7_MMD\Desktop\READ_IT.txt”，运行C: \ Users \ W7_MMD \ Decrypter .exe运行两个HTTP POST请求的IP地址为：23227199175（美国），发送被感染的机器的详细信息：用户名（username），主机名（pcname）和一个标准密钥（servkey）与服务器进行通信： /createkeys.php：获取与该密码将被加密后的RSA密钥。/getamount.php：获取有关的金额信息支付检索文件：0.500639。

它利用了方法CreatePassword和getInt随机生成被加密文件的密码，密钥的长度是从这个链abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWX YZ1234567890中取到的32个字符。

它利用了方法EncryptTextRSA和RSAENcrypt通过RSA协议对密码（新创建）进行加密;使用从C2服务器获得的公钥，大小为2048bit。

C＆C服务器存储发送信息的密码（通过RSA协议加密），发送参数为“aesencrypted”，也许是一种混淆监控网络流量的分析人员的技术。/Savekey.php/update.php/finished.php

然后通过函数来选择不同的驱动器（分区），扫描这些驱动（C：\\ D：\\，E：\\，F：\\，G：\\ H：\\，I：\\，J：\\以及K：\\）在这些磁盘目录下搜索下列文件类型：.

TXT，.DOC，.DOCX，.xls，.xlsx，.PDF，.PPS，.PPT，.PPTX， ODT，.gif，.jpg，.png，.db，.csv，.SQL，.MDB，.sln，.PHP，.asp，.aspx，.html，.xml，.PSD，.FRM，.MYD ，.MYI，.DBF，.MP3，.MP4，.AVI，.MOV，.MPG，.rm，.WMV.m4a，.mpa，.WAV，SAV，.gam，.LOG，.ged ,.，.myo，.tax，.ynab，.ifx，.ofx，.qfx，.QIF，.qdf，.tax2013，.tax2014，.tax2015，.box，.ncf，NSF，.NTF，.lwp 。

文件夹C：\\Windows下的文件不加密。计算定义在文本中的SHA256哈希值作为密码并设置该新密码加密文件。算法利用AES加密; 发送存储在文件中的信息和长度为256个字节密码。使用接收到的数据访问并重写每个文件（加密的），。最后添加扩展名.locked。

 一旦修正的目标文件下载模块“执行Decrypter.exe”，这将被用于检索的加密信息，该可执行文件从IP地址服务器23.227.199.83（美国）获取。还可以从imgur.com下载和修改图像库壁纸(i.imgur.com/By3yCwd.jpg）。

在该Web服务器上查看内容，还可以看到其他类型的恶意软件。

在文件READ_IT.txt中的网站let-me-help-you-with-that.webnode.com用于给已支付赎金的受害者提供解密密码。

最后cuendo进程运行Decrypter.exe，随后从i.imgur.com/eROA81P.jpg下载修改后的壁纸，壁纸上保存着攻击者提供的密码。

文件名称：

ransom.exe / Size: 25.0 KB / VT

MD5：

6fc471eb0a2ea50d6a3b689855a68c0a 

SHA1：

a886411a5ab5f87732ab10ef098bad5bb305ec68 

SHA256：

38cd5dc5601b401de1f53be12a1998e666c112ac62cc110dc1f1c91246a77817 filename: mm.exe / Size: 25.0 KB / VT MD5: 85a65cd0146355f1e3e42755e4feaeed SHA1: 03c2243acb5d48bb57b8ed2ed617b8f3199c7711 SHA256: af4802e84b5575ef2ade1ef103739afb7352807884dbf1ce7b7c770d994465f7 filename: mm1.exe / Size: 76.5 KB / VT MD5: f578c991d6dbc426103c119f8c97e577 SHA1: d06761ae89328fc73436bf08491b27b5980254cc SHA256: 6be813322ca2cfcd4a937a7087fb19d716c3e696d0f7ca442e67d5adb451aadc Filename: bb2old.exe / Size: 247.5 KB / VT MD5: 553c3faf060aaa2c083d66db468c1c70 SHA1: d8b09de3b0b4968d50ad2d4098d3a991c8c3373f SHA256: f6a74ead6c58e939050580889017f2d5e4a646980509de79c4fb151722388ec1 Filename: Decrypter.exe / size: 11.0 KB / VT MD5: bb78607edb2aaed95747319bd61258a8 SHA1: 07efccb34829a338b6fa2a45af15a151e736acdf SHA256: 9bcb2750326ba0880151f1f4ba524aae2915c54dbb75d949a8c35f95f80a253e