.EnCiPhErEd扩展名勒索病毒软件详细分析

0x0基本信息
报告名称: 一款勒索软件的详细分析
报告更新日期:2017-10-30
样本类型: WIN32 EXE
样本文件大小:12288字节/被加密文件大小无变化
样本文件MD5:f9154b290dc8fbf1bc82065d656b6590
样本文件SHA-1:cca6c6b00d6072f08aad735cb559839f333fcb9a
第一次发现日期:2012-01-30 00:19:03

0x1简介
该样本是一款加密算法可逆的勒索软件.
i被感染后系统症状:
1\正常文件名后添加.EnCiPhErEd扩展名
2\双击打开1中文件,出现勒索信息弹出框,以及解密密码输入框.
3\桌面壁纸变为勒索信息图片(该样本信息图片缺失,故变为黑屏)
ii文件系统变化:
1\%TMP%目录下出现名为ZFe6iILss4arp10.exe的病毒复制体
2\从A盘到Z盘,所有指定类型的大于8字节大小的文件会被加密
3\各个目录下会创建3个勒索说明文件(功能残缺,未出现,但包含代码)
iii注册表变化:
1\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加一项名为Alcmeter的REG_SZ值,值为ii-1中病毒全路径
2\HKEY_CLASSES_ROOT\YPZEZHCHKRGLOLF及其子项
3\HKEY_CLASSES_ROOT\.EnCiPhErEd
iv网络症状:
无

0x2详细分析:
样本开始运行后会进行如下行为:
1\加载自身位图资源到内存,在内存中对其进行解密.解密完成的数据放到内存的相应位置.
i.解密方式如下:
以前16个字节作为密钥,
密钥为:FB B3 05 48 41 7E DE A7 35 DD 8B 2F FD 5E BD BE, 称为密钥1
ii.解密完成后数据如下:

1.JPG (302.73 KB, 下载次数: 5)

下载附件 保存到相册

图1. 解密后资源值

2017-10-30 19:52 上传

(不包括前16个字节)
iii.经过分析,上图中的值可分为以下部分:

2.JPG (65.18 KB, 下载次数: 3)

下载附件 保存到相册

图2.值的说明

2017-10-31 00:06 上传

2\将密钥1分为4个DWORD,每个DWORD字节逆序后存放在[406595,4065a5),称为密钥2
3\得到explorer.exe的创建修改访问时间, 将自身重命名并放入到%TMP%目录下,并更名为ZFe6iILss4arp10.exe,设置该EXE的三个时间为前面得到的时间
4\在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建名为Alcmeter的REG_SZ值, 并赋值为新病毒文件的完整路径,实现开机自启动.
5\在注册表创建一些列项值HKEY_CLASSES_ROOT\YPZEZHCHKRGLOLF及其子项, HKEY_CLASSES_ROOT\.EnCiPhErEd, 实现.EnCiphErEd文件的关联打开方式为新病毒.
6\开始循环遍历硬盘, 从Z盘开始到A盘:
i.如果遍历到目录,那么拼装路径继续递归
ii.如果遍历到文件,那么比较文件名是否为三个勒索说明的文件名.是则开始下一次遍历.
iii.在该目录下创建三个勒索说明文件
iv.对文件后缀名进行匹配,如果不在列表中,则开始下一次遍历
v.在列表中,那么在内存中给文件名加上.EnCiPhErEd后缀
vi.打开文件,得到文件的创建修改访问时间, 读取文件*lDistanceToMove处nNumberOfBytesToRead个字节的值.
vii.文件名的第一个字节,设为B1,
viii.接下来,根据图2中那5个字节的开关中的某个字节,有二种加密方式. 在本样本的资源设定中, 会选择加密方式2.设读入文件数据data, 数据长度len
①加密方式一:
对(len/4)个DWORD, DWORD_data^= 密钥1[i%4]   i∈[0,len/4]
②加密方式二:
对(len/8)个2个DWORD,

3.JPG (100.69 KB, 下载次数: 2)

下载附件 保存到相册

2017-10-30 21:46 上传

显然该算法可逆.
③加密方式二的解密方式:(该解密函数就在加密的旁边,BYTE_406550为0时,病毒为加密模式;为1时,病毒为解密模式)
对(len/8)个2个DWORD,

4.JPG (83.04 KB, 下载次数: 4)

下载附件 保存到相册

图4.解密加密方式二

2017-10-30 21:51 上传

ix.将加密后的数据写入受害文件,并设定文件的创建修改访问时间为vi中获得的值, 避免操作暴露.
x.利用MoveFileA正式重命名文件, 开始下一次遍历.
7\用SHGetSpecialFolderPath得到特殊目录,并在其中创建勒索信息文件,之后弹出勒索信息对话框,
8\加载资源中名为pussylicker(龌蹉的名字)的bmp资源, 并以此创建bmp文件,之后设为桌面背景.
9\至此, 第一次执行流程结束.
以后打开.EnCiPhErEd文件,会执行以下流程:
1\执行上述的1.2.3
2\执行到3后,发现自身已经存在于临时目录后,创建勒索密码输入窗口.之后开始等待输入.
3\窗口回调中的关键代码如下:

5.jpg (67.59 KB, 下载次数: 3)

下载附件 保存到相册

图5.验证勒索密码流程

2017-10-31 00:16 上传

6.JPG (53.7 KB, 下载次数: 2)

下载附件 保存到相册

图6.五次MD5加密

2017-10-31 00:35 上传

该过程不可逆,网上查询也无结果. 不过不影响大局. 文件可以解锁.

0x3病毒样本及分析idb文件

勒索病毒文件样本 解压密码xzrecovery.com