恶意文件名称:
RoBaj
威胁类型:
勒索病毒
简单描述:
RoBaj 勒索软件于 2022-08-06 首次在 VT上出现,该病毒使用 .Net 编写,其文件名我“说明 解锁文件(英文)”,实则是中文的提示勒索信息,猜测该病毒主要针对使用中文简体的国家和地区进行攻击。
近期,深信服深盾终端实验室在运营工作中发现,
新型勒索病毒 RoBaj 正在传播。攻击者通过 3389 端口爆破 RDP 获得主机权限,进入内网,通过 smb、rdp爆破在内网传播,随后上传勒索文件,该病毒最终会释放勒索主程序system32.exe。
该勒索病毒主要针对使用中文简体的国家和地区进行攻击,在分析的过程中发现该勒索病毒直接或间接被 Neshta 蠕虫感染。病毒释放的所有可执行程序被 Neshta 蠕虫感染。
|
MD5
|
26c4346f6939838c95488fdc7e7a9dce
|
|
SHA-1
|
fe3054b3a8108f62ad549455dbaa4f37828a127c
|
|
SHA-256
|
f22eaf840ec9aa6441df76c501eceb23618f5d9e72462947c4a40e35b629d56e
|
勒索功能
查看文件的属性信息,发现该文件为自解压格式 ZIP 压缩文件,同时在该文件的属性信息中包含了注释内容,该文件会在 C:\Users\Public\Public Docker 目录下释放所有文件,其中 system32.exe 属于启动文件,如下所示:
从注释内容可知,该文件为 SXF 自解压文件。这种文件结合了一种用来运行从压缩文件解压文件的可执行文件模块。这样的压缩文件不需要外部程序来解压自解压文件的内容,它自己便可以运行该项操作。其中可执行文件为内部的 system32.exe,同时也可以借助其他解压工具进行解压,解压后如下所示:
其中 “Description Unlock Files.exe” 为锁屏和勒索提示程序。而 “Description Unlock Files.txt” 则是英文版勒索提示文档,“说明解锁文件(英文).txt” 其实为中文版的勒索提示文档。通过对比谷歌翻译和百度翻译,发现采用谷歌翻译获得的结果和 “说明解锁文件(英文).txt” 中的文字及格式分毫不差,猜测该中文说明文档可能是由类似谷歌翻译等国外翻译网站直翻而来。由此猜测攻击者可能来自国外,该勒索样本可能是专门针对中国(不包括中国台湾)进行的攻击。
勒索主程序 System32.exe
使用 DIE 查看文件的基本信息,发现该文件采用 .NET 编译,并使用了 Confuser(1.X)、ConfuserEx(1.0.0) 的混淆。
借助反混淆工具 UnConfuserEx 和 de4dot 进行解除混淆,发现该样本存在启动参数,参数为 “Zx ”,用来绕过沙箱自动执行的动态分析。当样本无参数启动或者以一个无效的参数启动时,控制台均会再次提醒输入参数,直至输入正确参数。
程序使用了参数设置为 0 的 ShowWindow 函数来隐藏执行窗口,使得程序的执行“悄无声息”。
为了尽可能多得加密文件,避免文件被占用,勒索程序还会关闭一些非病毒主程序自身及进程名中不包含Description Unlock Files、说明 解锁文件(英文)、explorer、conhost 的进程。
病毒主程序:
