安全路透社
当前位置:安全路透社 > 网络转载 > 正文

国产山寨版比特币敲诈木马分析

近日,腾讯反病毒实验室收到网友求助,说公司电脑中了敲诈者恶意程序,程序运行后电脑内所有图片类文件、文档类文件、压缩包文件、源代码等类型文件均被加密。加密后的文件均以.btc为扩展名命名保存。并留下勒索信息,要求用户支付价值约700人民币的比特币。本文就该恶意程序的行为进行详细的分析。

0×01程序运行流程

腾讯反病毒实验室在收到样本后随即对其进行分析,程序为C#编写:

1.png

  并且加了混淆,对程序去混淆后,便得到可反编译的程序。该敲诈程序流程如下:

2.png

1)程序先访问本地%LocalAppdata%目录,看是否存在后缀为.ckt的文件。

2)若已存在该文件,则访问:

hxxps://blockmeta.com/api/v1/address/info/1MkCeBBqmz2LoXjgqce2ghJQ3nY78BRQfg

获取自己比特币账户信息。比特币足够则解密所有加密处理过的文件,不够,则弹出如下对话框提醒:

3.png

3)若不存在该文件,则依次加密电脑上所有后缀为:

.rar .zip .jpg .jpeg .png .xls .xlsx .wps .ppt .pptx .doc .docx .ps .psd .java .c .cpp .max .mdb .mdf .py .jsp .asp .php .aspx .sql .vcf的文件。加密完成后在桌面上或者磁盘根目录留下“恢复步骤.txt”文本。txt中内容与上一步骤弹出的对话框中内容一样。

0×02加密过程

在程序反编译出的代码中可以看出其主要加密流程大致如下:

4.png

由流程图可得,该敲诈者恶意程序用于加解密文件的AES密钥是随机生成的,程序将该AES密钥通过RSA加密后再Base64编码一次并且保存到本地secretAES_RSAed_base64ed.ckt文件中。

5.png

同时,程序用到RSA的密钥信息也是直接在本地生成的,包括公钥和私钥等全部保存到本地sendBack_RSAkey.ckt文件中,整个加密过程没有联网交互,完全是山寨水平。

接着程序遍历所有文件,为了运行速度,程序还剔除掉了很多常用软件的根目录。

6.png

如果文件类型符合要求,则进行加密操作:

7.png

加密完成后将加密后的文件重新命名保存在同一位置下并且删除源文件。

0×03解密过程

程序若先发现secretAES_RSAed_base64ed.ckt、sendBack_RSAkey.ckt已存在,则访问hxxp://blockmeta.com/api/v1/chain/ticker,获取当前比特币兑换人民币的兑换率:

8.png

得到兑换率后,计算需要的比特币个数。其后访问:hxxps://blockmeta.com/api/v1/address/info/,获取比特币账户信息:

9.png

获取到比特币账户信息后,来判断当前情况下比特币个数是否足够。(吐槽一下:作者用账户中收到的总款除于1E+08f,这个数目未免太大了点吧。估计是只想进账,没打算解密。)

10.png

如果比特币数量达到预期,则执行解密过程:

11.png

解密完后,写回文件并恢复原文件名,最后删除加密文件:

12.png

值得庆幸的是,敲诈者恶意程序作者为了隐藏自己身份,将RSA密钥信息保存在了本地,通过上文分析过程。根据反编译后的样本,腾讯电脑管家编写出了这一系列敲诈者恶意程序的通用解密工具。

0×04晋级版分析

腾讯反病毒实验室还发现作者更新的晋级版木马。更新后的木马加密过程与原来一样,但会优先将密钥上传至服务器,服务器利用了免费的在线调查平台。该在线调查平台能够创建调查问卷给大家填写,如下:

13.png

木马作者就在该平台创建了个调查问卷:hxxp://www.diaochapai.com/survey/b6ceb9cf-3902-4496-a630-89055efde01c;通过精心构造数据包,将加密密钥以及用户电脑信息伪装成对调查问卷的回答,提交上传至服务器,由此获得加密密钥。

14.png

15.png

但是分析发现该调查链接已经失效。而当链接失效时,木马便会将密钥本地存放在用户桌面上,也就意味着,在这种情况下同样能被解密,解密过程同上。

16.png

在这一系列敲诈者恶意程序样本中,各批次样本使用的比特币地址并不统一,不过大体流程和思路几乎一致。经分析,该敲诈者恶意程序与常见恶意程序不同,它不对源文件进行更改操作,而是直接创建一个加密后的文件,再将源文件删除。虽然目前国内大部分杀软的监测点还在于对源文件的更改操作上,但用户可使用腾讯电脑管家查杀该木马。

*本文作者:腾讯电脑管家

未经允许不得转载:安全路透社 » 国产山寨版比特币敲诈木马分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册