BlackHeart(黑心)打单病毒家族是一款利用NET措辞进行编写的打单病毒,之前深信服EDR安全团队已经宣布过它的变种家族样本捆绑有名的远程软件AnyDesk进行传播,这次深信服EDR安全团队创造的是它的一个家族的最新的变种,加密算法仍旧利用AES+RSA,加密后的文件无法还原,加密后的文件后缀名为mariacbc。
一、样本简介
BlackHeart(黑心)打单病毒也是SF打单病毒家族成员之一,SF家族的打单病毒,一共有如下几类:
Spartacus(斯巴达克斯打单病毒)
Satyr(萨克斯打单病毒)
BlackRouter(BlackRouter打单病毒)
BlackHeart(黑心打单病毒)
它们都采取NET措辞进行编写,并利用了相似的加密核心代码进行打单加密,统称为SF打单家族。
二、详细剖析
1、样本仍旧采取之前的B字图标,同时也是利用NET措辞进行编写的,如下所示:
2、程序的入口函数,如下所示:
3、天生唯一的AES的KEY,如下所示:
4、再利用RSA2048的公钥Key加密之后天生的AES的Key,然后再转化为BASE64编码,如下所示:
天生的加密的Key,如下所示:
\公众mox1nR9OkprIdiwITblhpiD0XclNiMcMMNaP18mqVN1bkmsALjPThj9ckRNKC1uriLkOzc9BqAsgdLcNpmAJ/OPZDzKZhLsNv5GZAZotlMPX/gZzXvNvXqzKIxTxBv5NLzawTeyQuOuZMeU6gcuZdPThNItes0oFGsozxzsZCWuJoQuoXlfVDHnJC8dNGJ1+/EswCIB9jl5Hov0j9BNnwqOaKaTDJWYqayvKY4dnt14moA2ZzODVarydgHOit7CcJLGjCEijXV4Shrz8LkiBfKcH+haDcNWtT4EXT+zGae4DiAUIrAm+FPwLOuodHdrJwflJgkfawnXZA/6Emv/Vbw==\"大众
5、遍历主机干系目录,进行加密操作,如下所示:
遍历的目录,如下所示:
相应的目录列表,如下所示:
%Desktop%%Documents%%Music%%History%%Downloads%%Pictures%%Videos%%Favorites%%UserProfile%%ProgramData%%SystemRoot%\Users
6、遍历目录下的文件,如下所示:
判断文件的后缀名是否在相应的须要加密的文件的后缀名列表中,如下所示:
打单病毒会加密的文件后缀名列表,如下所示:
\"大众.exe\公众,\公众.der\"大众,\公众.pfx\"大众,\公众.key\"大众,\"大众.crt\"大众,\"大众.csr\"大众,\"大众.p12\"大众,\公众.pem\"大众,\"大众.odt\公众,\"大众.sxw\"大众,\"大众.stw\"大众,\"大众.3ds\"大众,\公众.max\"大众,\"大众.3dm\"大众,\公众.ods\公众,\"大众.sxc\"大众,\"大众.stc\"大众,\"大众.dif\"大众,\"大众.slk\"大众,\公众.wb2\公众,\公众.odp\"大众,\公众.sxd\公众,\"大众.std\"大众,\"大众.sxm\公众,\"大众.sqlite3\公众,\公众.sqlitedb\公众,\"大众.sql\公众,\公众.accdb\"大众,\"大众.mdb\公众,\"大众.dbf\公众,\公众.odb\"大众,\"大众.mdf\"大众,\公众.ldf\"大众,\公众.cpp\"大众,\公众.pas\"大众,\"大众.asm\公众,\公众.cmd\公众,\"大众.bat\"大众,\"大众.vbs\"大众,\"大众.sch\"大众,\"大众.jsp\"大众,\公众.php\公众,\"大众.asp\"大众,\"大众.java\"大众,\"大众.jar\"大众,\"大众.class\"大众,\公众.mp3\"大众,\"大众.wav\"大众,\"大众.swf\"大众,\"大众.fla\"大众,\"大众.wmv\"大众,\公众.mpg\"大众,\"大众.vob\"大众,\公众.mpeg\公众,\"大众.asf\"大众,\"大众.avi\"大众,\公众.mov\"大众,\"大众.mp4\公众,\"大众.mkv\"大众,\"大众.flv\公众,\"大众.wma\"大众,\公众.mid\"大众,\"大众.m3u\"大众,\"大众.m4u\"大众,\"大众.svg\公众,\"大众.psd\"大众,\"大众.tiff\"大众,\"大众.tif\"大众,\公众.raw\公众,\"大众.gif\公众,\公众.png\"大众,\"大众.bmp\"大众,\"大众.jpg\公众,\公众.jpeg\公众,\公众.iso\公众,\公众.backup\"大众,\"大众.zip\"大众,\"大众.rar\"大众,\公众.tgz\"大众,\"大众.tar\"大众,\"大众.bak\"大众,\"大众.ARC\"大众,\公众.vmdk\"大众,\公众.vdi\"大众,\"大众.sldm\公众,\"大众.sldx\"大众,\"大众.sti\公众,\公众.sxi\公众,\公众.dwg\"大众,\"大众.pdf\公众,\"大众.wk1\"大众,\"大众.wks\公众,\"大众.rtf\公众,\"大众.csv\公众,\"大众.txt\"大众,\"大众.msg\公众,\"大众.pst\"大众,\"大众.ppsx\"大众,\"大众.ppsm\公众,\"大众.pps\"大众,\公众.pot\"大众,\"大众.pptm\"大众,\"大众.pptx\公众,\"大众.ppt\公众,\公众.xltm\"大众,\"大众.xltx\公众,\公众.xlc\公众,\"大众.xlm\"大众,\"大众.xlt\公众,\"大众.xlw\"大众,\公众.xlsb\"大众,\公众.xlsm\公众,\"大众.xlsx\"大众,\公众.xls\公众,\"大众.dotm\"大众,\"大众.dot\"大众,\公众.docm\"大众,\公众.docx\公众,\公众.doc\公众,\公众.ndf\公众,\公众.pdf\"大众,\公众.ib\"大众,\"大众.ibk\公众
7、加密文件,利用AES加密算法,密钥KEY为之前通过RSA2048公钥加密后的KEY,对文件进行加密,同时将文件的后缀名变为mariacbc,如下所示:
相应的加密算法,利用AESECB加密算法如下所示:
加密后的文件,如下所示:
8、遍历主机磁盘文件目录下的文件进行加密,如下所示:
9、删除磁盘卷影操作,如下所示:
10、天生打单信息对话框,如下所示:
相应的打单对话框,如下所示:
11、遍历主机磁盘,在相应的文件目录下,天生打单信息文本文件ReadME-M@r1a.txt,如下所示:
三、办理方案
深信服安全团队再次提醒广大用户,打单病毒以防为主,目前大部分打单病毒加密后的文件都无法解密,把稳日常戒备方法:
1、不要点击来源不明的邮件附件,不从不明网站下载软件
2、及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞
3、对主要的数据文件定期进行非本地备份
4、只管即便关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
5、RDP远程做事器等连接只管即便利用强密码,不要利用弱密码
6、安装专业的终端安全防护软件,为主机供应端点防护和病毒检测清理功能
本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM
