频道栏目
首页 > 安全 > 网络安全 > 正文

网络安全之新型敲诈者分析

2016-11-29 15:03:43           
收藏   我要投稿

0x00 前言

达芬奇密码(. da_vinci_code)敲诈者是今年下半年刚出现的一款敲诈者木马,最早出现在国外的报道,并未影响国内用户。但自今年九月开始,360白名单分析组发现该木马在国内开始出现并逐步活跃,而且还出现了多个变种。由于此类敲诈者木马会将你所有的文档、文件和图片等个人生活与工作的重要数据通通加密保存,如果你不在48小时内通过暗网支付比特币赎金,你的重要数据将永久被加密保存,并且该变种频繁更新,一旦在国内爆发会带来巨大危害。

http://p9.qhimg.com/t01e6c1183a4bd79c87.png

图1下半年截止到10月22号捕获的达芬奇密码敲诈者部分变种

感染达芬奇密码敲诈者后,电脑中文档,压缩包,图片等文件均遭到加密,并修改文件后缀为“da_vinci_code”,并在每个磁盘目录和桌面下生成10个README.txt。图2显示的是感染达芬奇密码敲诈者后的桌面截图。

\

图2达芬奇密码敲诈者感染后的桌面

README.txt主要内容如下:

http://p2.qhimg.com/t01e8d09df80728f211.png

图3达芬奇密码敲诈者提示用户信息

0x01 基本流程

达芬奇密码敲诈者的功能主要分为安装包解密,ShellCode执行,勒索者本体三部分。大致的过程如下图所示:

http://p8.qhimg.com/t01fba2fadca67cda94.jpg

图4达芬奇密码敲诈者恶意代码流程

0x02 安装包解密

2.1 利用nsis脚本的IntOp和IntFmt函数拼接出System.dll::Call的调用参数,然后调用Call来执行。

http://p8.qhimg.com/t013362e099672bd11d.png

图5 NSIS脚本内容

执行的主要函数如下:

kernel32::CreateFileW(t '\', i 0x80000000, i 0x7, i 0, i 3, i 0x80, i 0) i .r7

kernel32::VirtualAlloc(i 0, i , i 0x3000, i 0x40) p .r8

kernel32::ReadFile(i r7, p r8, i , t.,)

kernel32::CloseHandle(i r7)::(t '\')

2.2 Call执行功能

kernel32::CreateFileW打开"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\

Ggm0KQEbU4UcJiEbNYAXOTz.jsiDbvtAQ8jS"

http://p9.qhimg.com/t016cf7a88c54bb68f6.png

图6创建ShellCode解码文件

kernel32::VirtualAlloc申请一段空间,大小为0xCC84D

http://p4.qhimg.com/t01871d769f27bb7a50.png

图7申请固定大小空间

kernel32::ReadFile读取Ggm0KQEbU4UcJiEbNYAXOTz.jsiDbvtAQ8jS文件至新申请的空间

http://p7.qhimg.com/t01e146b977cdee65de.png

图8读ShellCode解码文件

kernel32::CloseHandle关闭句柄,然后跳转新申请的空间去执行ShellCode。

上一篇:使用dnx.exe绕过应用白名单
下一篇:网络攻击呈上升趋势 安全疲劳导致网络安全寒冬来了?
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站