安全路透社
当前位置:安全路透社 > 网络转载 > 正文

敲诈者病毒VirLocker卷土重来 (内含恢复指南)

图片.png

VirLocker绝对不是什么新的病毒, 它把受害者的计算机搞得一团糟已多达数年。VirLocker是主流多态性敲诈者病毒的首例并且它不给它的受害者留下痛苦的代价。VirLocker 能够像其他恶意软件一样从它的作者那里传播开来, 但是VirLocker在感染其他用户时做了优化。 因为每一份被VirLocker感染的文件都变成了它自身,许多用户会不小心地把一份受感染的文件发送给朋友和同事,所以备份也被感染了,甚至应用程序和可执行文件都会不安全。 基本上, 被VirLocker感染后, 你不可以信任受影响计算机上的任一单个文件。当尝试去清理计算机时就遇到一个难题,因为没有什么可以信任并且每个你使用的工具都被感染了。甚至当你尝试去下载一个工具来帮你都成了问题,因为如果 VirLocker 运行在计算机上的话, 它会试图去感染新的文件即使在那个文件被打开之前。然而,如果你发现自己的计算机被这个变体感染了,千万不要尝试去移除它!本文不仅讨论敲诈者病毒是如何运行的, 还会向你展示如何在不支付赎金的情况下取回你的文件。

VirLocker的多态功能

VirLocker的多变能力使得每个人都头疼, 研究员、受害者和安全公司等等。 每次VirLocker 把自身添加到一个文件, 实际上该文件在许多方面都不同于它自身的其他版本。 VirLocker 可以添加“伪代码”到它自身的某些部分从而使得文件不同, 它可以在恶意软件的主要加载器中使用不同的API以避免 部分指纹识别,它可以使用不同的 XOR 和 ROL 种子使得可执行文件的加密内容完全不同等等。多态功能的这种级别使得它非常难以处理。即使当每个文件中的解压存根不同时,它通常被用来识别每个变种,它只留下行为和启发作为一种可行的检测方法。图片.png

正如你看到的上面的VirLocker感染文件图表所示,在每个创建请求中如果有效负载存根可以不一样,并且加密代码总是被不同地seed化, 嵌入的原始文件当然也会总是不同,取决于它所攻击的文件, 并且资源仅仅是他所攻击的原始文件的一个小图标。这留下了的非常少的适用于检测。

VirLocker的执行链

图片.png

VirLocker的执行绝不简单,比起我们已经看到的在单一情况下敲诈者病毒场景,它真正反映了多种保护类型。当执行感染时, FUD包装器(可以在某些方面多态本身)解包第一个由Base64和XOR混合的解密函数且总是不同地seed化。这个新的解密函数然后解密另一个新的由XOR/ROL混合的解密函数且总是不同地seed化。这个解密函数最后得到恶意代码并打算在计算机上运行。此时此刻,敲诈者病毒检查它是否已经感染了计算机,如果是,那么是否支付赎金?如果得到赎金,它就会变得善良且马上解密并提取被它植入自身的原始文件,最后关闭。如果用户被感染但是没有支付赎金,它就会在没有打开的情况下再次打开屏幕锁。如果是一个新的受害者,敲诈者病毒就会打开植入它自身的文件使得用户认为一切正常。比如,如果用户B接到一张来自朋友A的受感染的图片,一旦用户B打开那个文件,敲诈者病毒就会向他们展示植入自身的图片,但是在后台继续感染计算机。这是敲诈者病毒如何自我复制的背景。

图片.png

样本:原始正常文件被植入到病毒的样子。

VirLocker 概述

图片.png

上图显示了VirLocker的运行原理和呈现出的问题。不仅是病毒难以检测,它还能够在没有恶意软件作者的帮助下继续存在。如果任何曾被VirLocker 感染过的计算机碰巧发送出任意受感染的文件并认为它只是一个屏幕锁,那么这些文件将感染更多计算机。这种不断循环的感染将导致Virlocker像野火一样蔓延。一旦打开VirLocker ,它就会在计算机上将自身添加到附近的每一个文件,仅仅从图片到实际的应用程序。点击这些受感染的文件只会使得敲诈者病毒再次运行,或者在一个新的受害者情况下去感染他们。只有在这台计算机上“支付”了赎金以后,这些文件才会提取出他们内部的“正常版本”。由于这个敲诈者病毒带来的各种发狂,它已被证明是一个了不起的感染传播方法。想象一下你得到这个受感染文件并像你听说的那样仅仅把它看做是一个屏幕锁你以某种方式设法删除它并认为你不受阻碍。因为后缀名是隐藏的,你没有看见你计算机上的每一个文件现在都有一个在原始后缀后面被添加了.exe的后缀。你把你的简历发送给一家你正在申请的公司,接着很快整个商业都被感染了。

VirLocker “解密”和清理

声明: 如果你的计算机被VirLocker感染了, 那么你就是在处理一个充满活力和紊乱的恶意软件。它非常容易不小心就导致传播到其他计算机上。强烈建议在进行下面的操作前将你的计算机与其他硬件和网络隔离开。由于恶意软件的性质,我们对于你在遵循以下操作时任何可能发生在你或他人计算机上的问题概不负责。如果你发现自己的计算机被感染了而且想取回你的文件,千万不要立马把它删除。我们需要欺骗敲诈者病毒认为你已经支付了赎金,所以你可以先取回你的原始文件。如果你已经删除了敲诈者病毒,点击任何“被加密/受感染”的文件都可以激活Virlocker敲诈者病毒使用的锁屏。如果你已经清理了计算机, 在你加固它之前记得寻求专业的帮助。 不加固的话就简单地遵循如下步骤。由于VirLocker非常紊乱并且看起来它自身甚至没有一个清除或者解密方法,我们此处的目的就是帮助你取回你的重要文件,并在之后完全格式化你的计算机。本文的重点就是帮助你取回重要文件。完成这个后,应该完全格式化你的计算机,因为被感染之后的计算机上的任何东西都不可信。

图片.png

VirLock 有看起来像上面一样的锁屏。 他们似乎总是扮演一些法律权威。这个在过去版本中有着不同法律机构徽章并叫做“Operation Global 3”的自称是刑事调查局。重要的部分是 “TransferID:”文本框。我们已发现在最新的VirLocker敲诈者病毒版本中,此处输入任意64位长度的字符串都可以作为赎金被接受。所以在你被感染的计算机上,将下面的字符串输入到文本框中即可: 0000000000000000000000000000000000000000000000000000000000000000(有64个“0”。)当你完成这个操作后, 点击“Pay Fine”。这将会使敲诈者的锁屏消失。 现在VirLocker会认为你已经支付了赎金。因此, 双击打开你任何被感染的文件,都不会运行敲诈者病毒了而是将原始文件从中提取出来。

图片.png

如上图所示, 点击受感染文件“guest.bmp.exe”将解压得到原始文件“guest.bmp” 的正常版本。你可以使用一个不重要的USB驱动器来备份所有重要的和你需要从这些严重感染的文件中恢复的文件。确保当你这样做时不要把任何带 .EXE后缀的文件放到你的备份驱动器上, 这会导致感染的传播。只备份从EXE文件中提取出来的原始文件!仅在你在锁定屏幕上输入“0”的计算机上执行此操作。 在其他计算机上打开这些EXE文件会感染他们!当你得到你的重要文件后, 此时此刻这台计算机应该被完全擦除。为了避免今后这种类型的感染, 可以考虑使用一款类似Malwarebytes这种内置了反勒索功能的反勒索解决方案!

图片.png

此分析中用到的

Hash:d438f51fbb56c06c8d910344ceed79504360162c78559254afa7b3fa27eaf763bfa26552ae53c77a4ff49177e1b27dc318ee4102ca7281aa7dd3afdeccbe58ff932d7b340cb58cb635b2088421dc73bc1fe079c4b5cee940b2ad8e4dcbfe0f04a9937f7b85a12f5bc2eda8240c9fa5972275b50bc851aa736402b5f166ef3b034d0c238a2cd530b6c9a724af5406dc50cf31988584d34cacf46ac9b2c5f63bccff56e378a221100b160fae0d5cd4f94cb34c14b4e9b932c159c3c95c00526a35505d86f5181bdd13e473bfa4ab5edbc4d9a6b4ba75f30404ea4966ff7a8ee8da48abe6cdf1a3f3bc0934abbfaef189938e7ee981f77340cf2ca8b57fdad21a7e6372a2d90dec71b21fa5991b34289dfd2e8777bca9f51e5991dce03c4e861cd6

原文:https://blog.malwarebytes.com/threat-analysis/2017/01/virlockers-comeback-including-recovery-instructions/

*本文作者:cnRay,转载请注明来自Freebuf.COM

未经允许不得转载:安全路透社 » 敲诈者病毒VirLocker卷土重来 (内含恢复指南)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册