报告初稿完成时间:2016年04月07日17时44分首次发布时间:2016年04月08日14时23分勒索软件家族TESLACRYPT最新变种技术特点分析安天安全研究与应急处理中心(AntiyCERT)勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第2页目录1概述.
12传播方式.
13样本分析.
23.
1样本标签.
33.
2使用RSA4096加密算法加密文件,但不修改原文件名.
33.
3对抗安全工具.
43.
4具有PDB信息.
53.
5利用CMD自启动.
53.
6使用非常规的函数调用和跳转.
53.
7TESLACRYPT4.
0加密的文件格式64总结.
7附录一:参考资料.
7附录二:安天CERT发现的50多个传播勒索软件的域名.
7附录三:安天CERT发现的C&C地址8附录四:关于安天.
9勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第1页1概述安天安全研究与应急处理中心(AntiyCERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt4.
0,它具有多种特性,例如:对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等.
尤其值得一提的是,通常勒索软件在感染受害主机后均会修改被加密文件的扩展名,如TeslaCrypt早期版本(.
vvv、.
mp3、.
ccc、.
abc、.
ttt等),其他勒索软件Locky、CTB-Locker(.
Locky,.
oinpgca).
而TeslaCrypt的最新变种具有在加密文件后不修改原文件扩展名的特点.
勒索软件TeslaCrypt在2015年2月份左右被发现[1],它是在Cryptolocker的基础上修改而成.
在其第一个版本中,TeslaCrypt声称使用非对称RSA-2048加密算法,但实际上使用的是对称的AES加密算法,由此Cisco(思科)发布了一款解密工具,在找到可恢复主密钥的key.
dat文件时,可以解密被TeslaCrypt勒索加密的文件[2];但在之后的多个版本中,勒索软件TeslaCrypt开始使用非对称的RSA加密算法,被加密的文件在无密钥的情况下已经无法成功解密了,安天CERT发现,TeslaCrypt4.
0在2016年3月份开始出现,使用的是RSA-4096加密算法.
勒索软件系列事件的出现,具有多方面原因,其中重要的一点是匿名网络和匿名支付的高度成熟.
2016年春节过后,勒索软件Locky开始爆发,全球多家安全厂商发布了相应的报告,安天CERT也在2016年2月19日发布了《首例具有中文提示的比特币勒索软件"LOCKY"》[3];2016年3月底,G-Data和趋势先后发布了修改MBR、加密整个硬盘的勒索软件Petya的报告;2016年4月初,安天CERT开始跟踪勒索软件TeslaCrypt4.
0.
2传播方式勒索软件TeslaCrypt4.
0利用网站挂马和电子邮件进行传播,在国内网站挂马发现的较少,通常利用浏览器漏洞(Chrome、Firefox、InternetExplorer)、Flash漏洞和AdobeReader漏洞进行传播;而利用电子邮件传播的数量较多,安天CERT发现的多起勒索软件事件也都是通过电子邮件传播的.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第2页图1利用电子邮件传播勒索软件在分析TeslaCrypt的下载地址时,安天CERT研究人员发现,相同域名下存放多个TeslaCrypt4.
0程序,且文件HASH各不相同.
例如:域名http://***pasqq.
com,可以下载TeslaCrypt4.
0的地址如下:http://***pasqq.
com/23.
exehttp://***pasqq.
com/24.
exehttp://***pasqq.
com/25.
exehttp://***pasqq.
com/42.
exehttp://***pasqq.
com/45.
exehttp://***pasqq.
com/48.
exehttp://***pasqq.
com/69.
exehttp://***pasqq.
com/70.
exehttp://***pasqq.
com/80.
exehttp://***pasqq.
com/85.
exehttp://***pasqq.
com/87.
exehttp://***pasqq.
com/93.
exe另外,其他域名中勒索软件的下载地址同上,如:23.
exe、24.
exe、25.
exe…93.
exe.
至2016年4月7日14时,安天CERT共发现具有下载勒索软件TeslaCrypt4.
0的域名共50多个,部分域名已经失效.
部分下载勒索软件TeslaCrypt4.
0的域名:***pasqq.
com***uereqq.
com***ghsqq.
com***rulescc.
asia***rulesqq.
com3样本分析安天CERT共发现近300个勒索软件TeslaCrypt4.
0.
研究人员在其中选择了时间较新的样本进行分析.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第3页3.
1样本标签病毒名称Trojan[Ransom]/Win32.
Teslacrypt原始文件名80.
exeMD530CB7DB1371C01F930309CDB30FF429B处理器架构X86-32文件大小396KB(405,504字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳5704939E-->2016-04-0612:42:06数字签名NO加壳类型未知编译语言MicrosoftVisualC++VT首次上传时间2016-04-0604:07:00UTCVT检测结果28/573.
2使用RSA4096加密算法加密文件,但不修改原文件名该样本运行后复制自身至%ApplicationData%文件夹中,重命名为wlrmdr.
exe,设置自身属性为隐藏,然后使用CreateProcessW为其创建进程.
图2创建wlrmdr.
exe进程样本在新创建的进程中使用CreateThread开启线程,对全盘文件进行加密.
首先样本使用GetLogicalDriveStringsW获取所有逻辑驱动器,成功后使用FindFirstFileW与FindNextFileW遍历全盘所有文件,进行加密.
图3遍历磁盘文件加密函数地址为0x0040190A.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第4页图4调用加密函数对遍历到的文件加密利用RSA4096算法加密后,调用WriteFile将加密后的数据由内存写入文件,没有对文件名做修改.
图5将加密后的数据写入文件加密前后的文件对比:图6加密前后的文件对比3.
3对抗安全工具样本会查找系统中是否存在包含字符串的进程并将其隐藏,使用用户无法"看到"这些工具:"taskmg"任务管理器"regedi"注册表管理器"procex"进程分析工具"msconfi"系统配置"cmd"命令提示符勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第5页图7隐藏cmd界面3.
4具有PDB信息样本具有PDB信息,其文件名为"wetproblemiyuoblemi_x.
pdb"图8样本的调试信息中包含PDB信息3.
5利用CMD自启动样本调用RegCreateKeyExW,将使用CMD启动自身的代码写入至注册表中,使其随系统开机启动.
图9利用CMD达到随系统开机启动的目的3.
6使用非常规的函数调用和跳转样本使用了很多非常规的函数调用和跳转,用来阻止安全人员分析该病毒.
勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第6页图10非常规的函数调用图11非常规的跳转3.
7TeslaCrypt4.
0加密的文件格式图12TeslaCrypt4.
0加密的文件格式勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第7页4总结勒索软件对企业和个人用户都具有极大的威胁,被加密后的文件无法恢复,将给用户造成巨大的损失.
解决勒索软件的威胁问题除安装安全产品、防护产品、备份产品外,更需要用户在接收邮件时谨慎小心,慎重打开邮件或点击邮件内的链接,尤其是陌生人邮件.
安天智甲终端防护系统(IEP)可以在用户误点击运行勒索软件时阻止其对用户文件进行加密.
安天追影高级威胁鉴定系统(PTD)具有自动识别未知勒索软件的能力.
附录一:参考资料[1]安天发布:揭开勒索软件的真面目http://www.
antiy.
com/response/ransomware.
html[2]思科发布:针对勒索软件TeslaCrypt的解密工具http://www.
freebuf.
com/sectool/66060.
htmlhttp://blogs.
cisco.
com/security/talos/teslacrypt[3]首例具有中文提示的比特币勒索软件"LOCKY"http://www.
antiy.
com/response/locky/locky.
html附录二:安天CERT发现的50多个传播勒索软件的域名marvellrulescc.
asiawitchbehereqq.
comohelloguymyff.
comarendroukysdqq.
comisityouereqq.
comjoecockerhereff.
comblablaworldqq.
comjeansowghsqq.
comhowisittomorrowff.
comfromjamaicaqq.
commarvellrulesqq.
comgiveitalltheresqq.
comgoonwithmazerqq.
comgreetingseuropasqq.
comgiveitallhereqq.
comgutentagmeinliebeqq.
comgrandmahereqq.
comohelloguyzzqq.
comhellomississmithqq.
commafiawantsyouqq.
comjeansowghtqq.
comhellomisterbiznesqq.
comspannflow.
comgrandaareyoucc.
asiahellomydearqq.
comohelloguyqq.
comimgointoeatnowcc.
comhelloyoungmanqq.
combonjovijonqq.
comwashitallawayff.
com勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第8页howareyouqq.
comjoecockerhereqq.
comgreetingsjamajcaff.
cominvoiceholderqq.
comitsyourtimeqq.
suhpalsowantsff.
comitisverygoodqq.
comblizzbauta.
comohellowruff.
comlenovomaybenotqq.
comyesitisqqq.
comohelloweuqq.
comlenovowantsyouqq.
comthisisitsqq.
comujajajgogoff.
commafianeedsyouqq.
comsoclosebutyetqq.
comohiyoungbuyff.
commommycantakeff.
comisthereanybodyqq.
comhelloyungmenqq.
comthisisyourchangeqq.
comohelloguyff.
com附录三:安天CERT发现的C&C地址addagapublicschool.
com/binfile.
phpkel52.
com/wp-content/plugins/ajax-admin/binstr.
phpcloserdaybyday.
info/wp-content/plugins/google-analytics-for-wordpress/vendor/composer/installers/tests/Composer/Installers/Test/binfile.
phpcoldheartedny.
com/wp-content/plugins/wordpress-mobile-pack/libs/htmlpurifier-4.
6.
0/library/HTMLPurifier/DefinitionCache/Serializer/URI/binfile.
phpthejonesact.
com/wp-content/themes/sketch/binfile.
phptheoneflooring.
com/wp-content/themes/sketch/binfile.
phpmahmutersan.
com.
tr/wp-content/plugins/contact-form-maker/images/02/03/stringfile.
phpmyredhour.
com/blog//wp-content/themes/berlinproof/binstr.
phpcontrolfreaknetworks.
com/dev/wp-content/uploads/2015/07/binstr.
phpsappmtraining.
com/wp-includes/theme-compat/wcspng.
phpcontrolfreaknetworks.
com/dev/wp-content/uploads/2015/07/wcspng.
phpvtechshop.
net/wcspng.
phpsappmtraining.
com/wp-includes/theme-compat/wcspng.
phpshirongfeng.
cn/images/lurd/wcspng.
php198.
1.
95.
93/~deveconomytravel/cache/binstr.
phphelpdesk.
keldon.
info/plugins/editors/tinymce/jscripts/tiny_mce/plugins/inlinepopups/skins/clearlooks2/img/binfile.
phphotcasinogames.
org/binfile.
phpgoldberg-share.
com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binfile.
phpopravnatramvaji.
cz/modules/mod_search/wstr.
phpstudiosundaytv.
com/wp-content/themes/sketch/binfile.
phptheoneflooring.
com/wp-content/themes/sketch/binfile.
phphotcasinogames.
org/binfile.
phppcgfund.
com/binfile.
phpkknk-shop.
dev.
onnetdigital.
com/stringfile.
phpforms.
net.
in/cgi-bin/stringfile.
phpcasasembargada.
com/wp-content/plugins/formcraft/php/swift/lib/classes/Swift/Mime/HeaderEncoder/stringfile.
phpcsskol.
org/wp-content/plugins/js_composer/assets/lib/font-awesome/src/assets/font-awesome/fonts/stringfile.
phpgrosirkecantikan.
com/wp-content/plugins/contact-form-7/includes/js/jquery-ui/themes/smoothness/images/binarystings.
php勒索软件家族TeslaCrypt最新变种技术特点分析安天实验室版权所有,欢迎无损转载第9页naturstein-schubert.
de/modules/mod_cmscore/stringfile.
phpvtc360.
com/wp-content/themes/vtc360_maxf3d/ReduxFramework/ReduxCore/inc/extensions/wbc_importer/demo-data/Demo2/binarystings.
phpstarsoftheworld.
org/cgi-bin/binarystings.
phpholishit.
in/wp-content/plugins/wpclef/assets/src/sass/neat/grid/binarystings.
phpminteee.
com/images/binstr.
phpnewculturemediablog.
com/wp-includes/fonts/wstr.
phpdrcordoba.
com/components/bstr.
php附录四:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn
继阿里云服务商推出轻量服务器后,腾讯云这两年对于轻量服务器的推广力度还是比较大的。实际上对于我们大部分网友用户来说,轻量服务器对于我们网站和一般的业务来说是绝对够用的。反而有些时候轻量服务器的带宽比CVM云服务器够大,配置也够好,更有是价格也便宜,所以对于初期的网站业务来说轻量服务器是够用的。这几天UCLOUD优刻得香港服务器稳定性不佳,于是有网友也在考虑搬迁到腾讯云服务器商家,对于轻量服务器官方...
Megalayer 商家算是新晋的服务商,商家才开始的时候主要是以香港、美国独立服务器。后来有新增菲律宾机房,包括有VPS云服务器、独立服务器、站群服务器等产品。线路上有CN2优化带宽、全向带宽和国际带宽,这里有看到商家的特价方案有增加至9个,之前是四个的。在这篇文章中,我来整理看看。第一、香港服务器系列这里香港服务器会根据带宽的不同区别。我这里将香港机房的都整理到一个系列里。核心内存硬盘IP带宽...
Digital-VM商家目前也在凑热闹的发布六月份的活动,他们家的机房蛮多的有提供8个数据中心,包括日本、洛杉矶、新加坡等。这次六月份的促销活动全场VPS主机六折优惠。Digital-VM商家还是有一点点特点的,有提供1Gbps和10Gbps带宽的VPS主机,如果有需要大带宽的VPS主机可以看看。第一、商家优惠码优惠码:June40全场主机六折优惠,不过仅可以月付、季付。第二、商家VPS主机套餐1...
勒索补丁为你推荐
courses163机构apple债券127三星苹果5司机苹果5css3圆角css实现圆角的几种方法是什么?css3圆角在HTML里如何实现圆角矩形?ipad如何上网ipad怎么设置网络?iphone连不上wifi苹果手机为什么突然连不上家里的wifi?重庆电信宽带管家中国电信电脑管家是什么?怎么样?
电信服务器租用 中文域名申请 免费申请网页 阿里云os dreamhost cpanel主机 京东云擎 699美元 域名接入 网通服务器 shuang12 dnspod vul 秒杀品 lamp架构 网络速度 服务器是什么意思 so域名 服务器是什么 堡垒主机 更多