专栏名称: 吾爱破解论坛
吾爱破解论坛致力于软件安全与病毒分析的前沿,丰富的技术版块交相辉映,由无数热衷于软件加密解密及反病毒爱好者共同维护,留给世界一抹值得百年回眸的惊艳,沉淀百年来计算机应用之精华与优雅,任岁月流转,低调而奢华的技术交流与探索却
目录
相关文章推荐
嘶吼专业版  ·  【转发有礼】360SRC×HackingGr ... ·  23 小时前  
嘶吼专业版  ·  Google Play 上的恶意 ... ·  昨天  
湖北日报  ·  山姆又出事了 ·  2 天前  
湖北日报  ·  山姆又出事了 ·  2 天前  
1018陕广新闻  ·  百度安全负责人回应“谢广军女儿开盒事件”→ ·  2 天前  
1018陕广新闻  ·  百度安全负责人回应“谢广军女儿开盒事件”→ ·  2 天前  
湖北日报  ·  小米撤回“不做卫生巾”! ·  3 天前  
湖北日报  ·  小米撤回“不做卫生巾”! ·  3 天前  
51好读  ›  专栏  ›  吾爱破解论坛

【PC样本分析】狮鹫勒索者分析(样本来自于坛友)

吾爱破解论坛  · 公众号  · 互联网安全  · 2017-09-07 09:30

正文

GRYPHON RANSOMWARE 分析报告
2017.0830-2017.09.02
样本来源:  32469.js https://www.52pojie.cn/thread-632863-1-1.html;   328522.exe https://www.52pojie.cn/thread-632904-1-1.html
参考文献:[1]http ://blogs.quickheal.com/technical-analysis-globeimposter-ransomware-quick-heal-security-labs/


1. 介绍
1.1 样本信息
32469_js_sha1:1f253b33f962aa657fc2ec3c79af1607fb4dcdb1
328522_exe_sha1 36efc4f101134f1c527d409fa37c2fde11d15583
exe 图标:

1.1 exe 图标


1.2 样本介绍
该样本属于GlobeImposter Ransomware[1]的变种, 攻击者诱骗用户运行 js 文件, js 下载 exe 并执行, exe 执行后加密所有用户文件 ( 系统文件不加密 ) ,并感染网络资源。 用户中毒,所有文件后缀名被改为 .gryphon ”,同时弹出勒索信息


1.2 勒索信息
该样本,采用 AES-256 加密文件,密钥生成与 GetTickCount 有关,所以用户每次运行生成的密钥都不同 。图 1.2 ”Your ID” 就是经过 RSA Basse64 加密的 AES 密钥信息, RSA 公钥:
-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrgpPA8RXwHnCUCVqWjVznhVq/OKp/um9WkKnb4vyaT++nqBDck88GTpMpqKl/fvQ+TC/7WzS+CeVjZ8hdoNotTJ0AMQiZG6yQsg+An4gCyXH3o9jhha+v1HWOOpDXKmQvrpjE/eIzaKvyw82ElFqufpH8ja9Y3EsYZ88inFYiYQ IDA QAB
-----END PUBLIC KEY-----
只有获取 RSA 私钥,才能对加密文件进行解密。


1.3 样本流程





1.3 样本流程


2. 下载模块分析— 32469.js
32469.js 的功能是下载 328522.exe
2.1 运行环境
32469.js 需要在 IE 浏览器上运行,因为:
js 中使用 getYear() 函数获取系统年份,判断运行时间是不是 2017 年。但是大多数浏览器调用 getYear() 返回的值是当前距离 1900 年的年份,而不是当前年份;而 IE 浏览器返回的则就是当前年份。

2.1 getYear
js 中使用 ActiveXObject 对象,需要在支持 ActiveXObject 的浏览器上才能运行。


2.2 代码分析
用文本编辑器打开 32469.js ,是一段经过混淆的 js


2.2 js 代码(这图盗用坛友的
定位 eval ,找到 js 真正执行的 js 。一共有两个 eval ,第一段 eval 执行的 js 脚本,仍然是混淆的代码,第二个 eval 才是 js “真正”执行的部分。将 js 代码中的第二个 eval 替换为 document.write ,打印出真正执行的代码


2.3 去混淆后 js 代码
分析这段 js ,发现 js 使用了异常处理, js 首先尝试使用 Windows Script Host从”http://foolerpolwer.info/admin.php?f=3” 下载可执行程序并调用 ShellExecute 执行,如果出现异常,则使用 Powershell 下载可执行程序并执行。 有趣的是, WSH 下载的文件: C \ Users \ \ AppData \ Roaming Microsoft \ Windows \ Templates \ {6_RandomNumbers} .exe; Powershell 下载的文件 (js 中是 ”%appdata%rnd.exe”,而不是”%appdata%\rnd.exe”) C \ Users \ \ AppData \ Roamingrnd.exe


3. 加载模块分析— 328522.exe
328522.exe 包含了大量加密的附加数据,程序首先解密第一段附加数据,生成并释放 System.dll ,调用 System.dll 解密第二段附加数据,生成加密程序。 利用 ExeInfo 分析 328522.exe ,发现 328522.exe 极有可能是 NSIS 封装的软件安装包 ,但在运行时,加密程序并没有被释放到磁盘,而是直接在内存中执行。

3.1 exeinfo 信息
328522.exe 一共 27564 字节数据, PEID 查看节信息,发现真正的 PE







请到「今天看啥」查看全文


推荐文章
嘶吼专业版  ·  【转发有礼】360SRC×HackingGroup「奇御」AI安全技术沙龙·3月29日北京,线下约起~
23 小时前
嘶吼专业版  ·  Google Play 上的恶意 Android“Vapor”应用已安装 6000 万次
昨天
湖北日报  ·  山姆又出事了
2 天前
湖北日报  ·  山姆又出事了
2 天前
1018陕广新闻  ·  百度安全负责人回应“谢广军女儿开盒事件”→
2 天前
1018陕广新闻  ·  百度安全负责人回应“谢广军女儿开盒事件”→
2 天前
湖北日报  ·  小米撤回“不做卫生巾”!
3 天前
湖北日报  ·  小米撤回“不做卫生巾”!
3 天前
冲蒌老伍  ·  广东人讲粗口,真系笑到碌地
8 年前
经典人生感悟  ·  不负时光,不负自己!(励志好文)
8 年前
Clinic門诊新视野  ·  NCF2017|专家对话:在探索中找出最优解——DES聚合物涂层及其对DAPT影响解析
7 年前
煮酒论史  ·  鬼谷子22句撼世语录,句句经典!
7 年前
IPO案例库  ·  战略能力是人与人之间最大的差距
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!