敲詐者Virlock病毒完整技術(shù)分析是針對最近傳入我國的新的病毒敲詐者Virlock采取的一種解決方案,敲詐者Virlock病毒破壞性強(qiáng),傳播快,這套技術(shù)分析已經(jīng)得到實(shí)際認(rèn)可,有需要的朋友可以下載體驗(yàn)。
最新消息:
近日,360QVM發(fā)現(xiàn)一款名為VirLock的“敲詐者”病毒開始在國內(nèi)出現(xiàn),此病毒與剛傳入中國的CTB-Locker“敲詐者”病毒如出一轍,均通過強(qiáng)鎖電腦里的文檔、圖片等重要資料,借機(jī)敲詐用戶贖金0.71比特幣(約1000元人民幣)。VirLock敲詐者病毒最早在國外流行,比CTB-Locker“敲詐者”病毒感染的文件類型更多,包括了常見的MP3和MPG等影音文件,這意味著受影響的用戶范圍會更大,傳播也會更廣。目前,360是全球唯一可以成功修復(fù)還原VirLock感染文件的安全軟件。
360QVM團(tuán)隊(duì)第一時(shí)間對VirLock“敲詐者”病毒進(jìn)行了技術(shù)分析:
近期360安全中心檢測到大量文件被一種叫做VirLock的敲詐病毒感染病毒會全盤遍歷硬盤中的可執(zhí)行文件及文檔、圖片等文件,并將其加密,鎖住用戶的windows帳號,并彈框威脅用戶付費(fèi)解密文件。
此為360安全中心首次截獲具有感染能力的敲詐病毒,傳播能力較強(qiáng),具有多態(tài)變形能力,危害極大,請用戶提高警惕。
目前使用360全線產(chǎn)品可以完美修復(fù)系統(tǒng)中被感染的文件。
樣本信息:
1.360云安全中心已捕獲Virlock相關(guān)樣本近8萬個(gè);
2.國外最早發(fā)現(xiàn)此病毒的為ESET(2014年12月)。目前,360是全球唯一可成功修復(fù)Virlock變種感染文件的安全軟件。
病毒描述:
攻擊行為一:感染用戶數(shù)據(jù)文件及可執(zhí)行文件
感染文件類型,包括但不限于:
被感染的文件與原文件圖標(biāo)一致,但是被感染文件是一個(gè)可執(zhí)行病毒文件,結(jié)構(gòu)大致如下:
病毒會遍歷所有的磁盤,網(wǎng)絡(luò)共享路徑。加密感染之后,病毒會記錄一個(gè)文件列表在%userprofile%\????.txt中(?為隨機(jī)字母)如下圖所示。
攻擊行為二:加密用戶登陸密碼
加密當(dāng)前用戶賬戶,并創(chuàng)建一個(gè)新的賬戶:
用戶重新登錄時(shí),進(jìn)入的桌面環(huán)境為全新的用戶環(huán)境,包括我的文檔,桌面等文件路徑均與之前的環(huán)境不同。
如圖:用戶感染此病毒之后,登錄界面會多出一個(gè)用戶(用戶名隨機(jī)),且都需要密碼才可以進(jìn)入。
 
攻擊行為三:關(guān)閉系統(tǒng)安全功能
禁用UAC,使用戶賬戶控制功能失效。
攻擊行為四:實(shí)現(xiàn)自啟動
實(shí)現(xiàn)自啟動項(xiàng):
會釋放文件到%userprofile%中,創(chuàng)建隨機(jī)文件夾,文件夾設(shè)為隱藏屬性,以及隨機(jī)文件名。
釋放文件:
寫入垃圾數(shù)據(jù),長度0×200字節(jié)(以對抗殺軟檢測):
使用NTFS系統(tǒng)的權(quán)限特性,對文件夾進(jìn)行鎖定,用戶無法打開,刪除文件夾。
(注:XP Professional中,需要在文件夾選項(xiàng)中關(guān)閉“簡單文件共享”,才可以看到安全選項(xiàng)卡,XP Home版無此功能。)
攻擊行為五:隱藏病毒體文件
病毒會修改注冊表,以隱藏文件擴(kuò)展名及相關(guān)文件:
攻擊行為六:彈出勒索提示
病毒全盤感染完畢之后,會彈出勒索提示框進(jìn)行警告,病毒會勒索0.71 BTC(約合人民幣1000元)。
如下圖所示:
安全建議:
1.不要隨意點(diǎn)擊或運(yùn)行未經(jīng)過確認(rèn)對方身份的郵件附件。特別注意的是.scr .exe 等可執(zhí)行文件。 2.更新電腦中的安全軟件,目前360系統(tǒng)急救箱可以檢測并修復(fù)被感染文件,隨后360全線安全產(chǎn)品將支持被感染文件修復(fù)。 3.選擇單獨(dú)硬盤對電腦中重要的數(shù)據(jù)資料進(jìn)行日常備份,防止數(shù)據(jù)被加密等意外狀況。
VirLock技術(shù)細(xì)節(jié): 1.恢復(fù)原始文件: 由于病毒將原始數(shù)據(jù)包含在自身之中, 所以病毒首先需要將原始數(shù)據(jù)解密,然后執(zhí)行之,然后運(yùn)行,文件恢復(fù)的流程如下:
解密方式較為復(fù)雜,有三層解密。
第一層解密:
主要是為了解密第二層,解密算法為循環(huán)左移操作:
第二層解密:
其目的是為了解密第三層的解密代碼,解密算法為異或操作。
第三層解密:
解密原始文件名,原始數(shù)據(jù)等關(guān)鍵數(shù)據(jù)。解密方式為異或與循環(huán)右移相結(jié)合。
如圖:解密出來的原始文件名為2009 &10 015.jpg:
解密出來的原始數(shù)據(jù):
2.代碼對抗
(1)對抗虛擬機(jī)
病毒采用多態(tài)變形技術(shù),從入口開始隨機(jī)調(diào)用API,和虛擬機(jī)進(jìn)行對抗,增加分析難度。
(2)對抗靜態(tài)分析
病毒在解密之后,采用了大量成對的”XCHG EAX,EBX”,使代碼易讀性降低,增加分析難度:
(3)對抗動態(tài)分析
在運(yùn)行的過程中,采用了大量的rdtsc進(jìn)行時(shí)間判斷,用于檢測是否處于調(diào)試狀態(tài),如果調(diào)試則執(zhí)行不同分支,增加調(diào)試復(fù)雜度。
(4)對抗手動清除
病毒會創(chuàng)建多個(gè)進(jìn)程,且互相看護(hù),如果其中任何一個(gè)進(jìn)程結(jié)束,則會重新創(chuàng)建一個(gè)新的實(shí)例,死而復(fù)生,永無休止。
如圖:框中的三個(gè)進(jìn)程互為守護(hù)進(jìn)程。