【预警】勒索病毒Ouroboros开学来袭,持续更新惹人关注

国内新闻 阅读(1665)

[亚信安全] - [2019年9月2日]最近,亚信安全截获了新的勒索软件Ouroboros,将在加密文件完成后添加。 [ID=10个随机字符] [Mail=]。 Lazarus的后缀,AsiaInfo Security将其命名为Ransom.Win32.OUROBOROS.SM。通过深入分析,安全专家发现了黑客使用的FTP服务器,并且服务器上还有Euroroboros勒索软件的文件。安全专家推测勒索软件目前正在不断更新,趋势科技将继续关注勒索软件。动态。

赎金病毒Ouroboros的详细分析

安全专家分析说,勒索软件源文件没有打包:

使用IDA打开此文件,在加载符号文件时找到病毒作者编译器留下的符号文件的位置,并确定赎金病毒是Ouroboros:

初步分析,勒索软件具有大量的反调试功能,或者通过在函数:中包含返回函数的形式来增加病毒分析的难度

进入程序键功能,勒索软件将调用PowerShell程序,删除卷影副本0s1778

通过vssadmin删除shadows/all/y命令

然后加载病毒所需的信息,如邮箱信息,生成ID:

在地址40A000处,安全专家发现勒索软件进程遍历并关闭了与数据库相关的进程:

该病毒使用来自SFML(简单和快速多媒体库)网站的资源: http [:] //www [。] sfml-dev [。] org/ip-provider.php

访问此URL后,您可以获取访问者的公共IP地址(图中的红色框是获取请求包的内容):

然而,在这个勒索软件中,这个网站成了获取受害者IP的工具(正常分析,我在本地建立了一个网站,通过主机将sfml-dev [。] org指向本地,地址是本地的。网络环境伪造响应地址):

病毒将尝试与主机174.31.168.30建立连接。程序收集IP,ID,磁盘使用情况和密钥信息后,会将其发送给主机174.31.168.30并等待返回数据包。

病毒不直接在主线程中执行加密操作,而是将加密逻辑的功能地址作为参数传递给新创建的线程,并在新线程中获取相应的参数,然后执行跳转执行。加密逻辑将遍历磁盘上的文件夹以检查它是否是Windows目录以及文件名是否包含eScan,qhlogs,info.txt字符。如果满足条件,请避免加密这些文件或目录中的文件。

否则它将读取文件的内容并开始加密内存中的文件内容:

文件内容加密后,将创建以下后缀文件: [ID=十位随机字符串] [Mail=] .Lazarus

然后它将加密的内容写入创建的后缀文件,然后删除未加密的源文件:

勒索软件完成后,释放赎金信息的Read-Me-Now.txt文件,文件内容如下:

普通的勒索软件可能已完成所有逻辑,但安全专家进行了静态分析,发现该病毒还触发了ftp连接操作,将名为uiapp.exe的文件从176.31.168.30的ftp下载到本地C: \\ ProgramData \?exe,之后,启动一个新进程来执行此文件:

安全专家对下载的Uiapp.exe文件进行了简单分析,发现该程序没有明显的恶意行为,只是为了更清楚地显示勒索软件。

双击后,桌面将弹出以下勒索软件界面:

安全专家还在176.31.168.30的ftp中找到了另一个exe文件: crypt.exe(此文件被检测为Ransom.Win32.OUROBOROS.AA)。根据文件名,安全专家怀疑该文件是原始的勒索软件病毒。来源,所以crypt.exe文件和安全专家拦截勒索软件哈希比较,发现不一致:

但是,经过进一步分析,两个代码块的内容几乎相同,只是编译时间不同。 crypt.exe的文件编译时间相对较新。据此,安全专家怀疑Euroroboros赎金病毒不断更新,未来亚信安全将受到密切关注。

AsiaInfo Security教您如何预防

不要点击来自未知来源的电子邮件和附件;不要点击来自未知来源的电子邮件中包含的链接;使用强密码,避免弱密码密码,并定期更改密码;打开自动系统更新并检测安装更新;尝试关闭不必要的文件共享;请小心备份重要文件。备份的最佳做法是采用3-2-1规则,即制作至少三个副本,将它们保存为两种不同的格式,并将副本放在异地存储中。

趋势科技产品解决方案

亚信安全病毒代码版本15.329.60,云病毒代码版本15.329.71,全球代码版本15.329.00可检测,请及时更新病毒代码版本。

IOC的

MD5:

fcc4ac3fce09faccb75ec

E3caef2e2bdc4b08d625d4845f3205b6