一、概述
近日,腾讯御见威胁情报中央监测到,stop打单病毒变种(后缀.raldug)在海内有部分传染。剖析创造,该版本病毒比较较于18年11月份开始生动的DATAWAIT版本,在加密算法和病毒模块有了变革,由于该版本的stop打单病毒在其根本举动步伐事情正常、联网稳定情形下加密后的文件暂无法解密,我们提醒各政企机构把稳戒备。
Stop打单病毒家族在海内紧张通过软件捆绑,垃圾邮件等办法进行传播,加密时常日须要下载其它病毒赞助事情模块。Stop打单病毒会留下名为_readme.txt的打单解释文档,打单980美元,并声称72小时内联系病毒作者将得到50%用度减免。
Stop打单病毒还具有以下特性:
1.
加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能 ;
2.
通过修正hosts文件阻挡系统访问环球范围内大量安全厂商的网站;
3.
因病毒实行加密时,会造成系统明显卡顿,为掩人线人,病毒会弹出假造的Windows 自动更新窗口;
4.
开释一个被人为修正后不显示界面的TeamViewer模块,用来实现对目标电脑的远程掌握;
5.
下载AZORult窃密木马,以盗取用户浏览器、邮箱、多个谈天工具的用户名密码。
二、剖析
Stop打单家族病毒早期部分版本利用AES算法无差异加密所有文件,文件末端不追加硬编码附加数据。该病毒家族加密后的文件后缀数已超50余个,包括以下清单所列举的后辍名:
(.stop, .suspended, .waiting,
.pausa, .contactus, .datastop, .stopdata, .keypass, .why, .savefiles,
.datawait, .infowait, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu,
.djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet,
.rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks,
.promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope,
.kropun, .charcl, .doples, .luces,
.luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat,
.roland, .refols, .raldug)
腾讯安全御见威胁情报中央监测到近期海内盛行的加密后辍为.raldug,病毒利用Salsa20加密文件。会根据文件大小采取不同的加密方案:当文件Size小于即是5字节时不加密,大于5字节时跳过文件头5字节,剩余部分小于即是0x25800(150KB)字节时全部加密,大于0x25800(150KB)则只加密0x25800部分大小,该版本样本加密文件完成后还会在末端追加2部分的硬编码字符串,并终极修正文件名添加扩展后缀.raldug。
当前病毒利用Salsa20加密文件:
加密时判断文件大小<=5字节时,对文件内容不进行加密
大于5字节时,考试测验读取0x25805字节
加密时跳过文件头前5字节
对剩余部分0x25800内容加密完成后追加包含两个部分的硬编码固定字串信息,第二部分为固定{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}
加密白名单目录与早期样本相比并没有变革
病毒加密时通过内部创建的线程回调考试测验从做事器拉取加密Key预备数据
(接口如下:hxxp://root.ug/ASdgdrega73264iUKdu7364ykdhfjgdftest/Asduheweyfguyfgkhjasdfasdf/get.php?pid=(MAC-HASH))
密钥天生流程紧张有以下步骤:
1.考试测验在线访问病毒做事接口获取随机天生的密钥预备数据
2.当病毒做事接口返回数据成功,则提取line1-line2标签内字段作为密钥预备数据,剩余部分作为打单ID号
3.当病毒做事器失落活情形则利用离线的密钥预备数据
4.对密钥预备数据打算得到md5
5.读取文件头5字节的原始数据
6.文件头5字节数据拼接步骤4中计算得到的md5
7.对步骤6中终极得的缓冲区打算md5即为文件加密Key
病毒访问做事器Key天生接口获取加密Key预备数据
通过剖析的历史病毒版本样本可知当Key天生接口存活时,返回以下格式数据
病毒通过会对做事器返回结果进行查分解析(解析标签line1-line2内为Key预备数据,剩余部分作为文件末端追加数据的第一部分和打单解释文档中的用户ID)
而当前版本病毒做事器由于失落活,暂时返回404无效信息
此时病毒依旧会考试测验利用固定的密钥预处理数据对文件进行加密
密钥预备数据将被打算md5并和文件头5字节进行拼接,如下图中5字节文件原始数据“REM D”拼接“F37E72DD16621339E0B96A481B26B31B”,拼接的内容再次打算MD5则为末了的文件加密Key,从而能实现每个被加密的文件都有单独的加密密钥
此版本病毒运行后还会考试测验下载实行以下5个模块:updatewin1.exe、updatewin2.exe、updatewin.exe、3.exe、4.exe(已不可下载)、5.exe,分别实行不同的任务。
不雅观察下载链接url中有test字段疑似作者还在测试更新:
hxxp://pool.ug/tesptc/test/updatewin1.exe
该模块目的为禁用任务管理器,禁用Windows Defender开机启动,关闭Windows Defender的实时监控功能。
hxxp://pool.ug/tesptc/test/updatewin2.exe
该模块目的为通过修正Host文件禁止被攻击者访问安全类站点(包含环球范围内大量安全公司的网站和微软公司网站)。
hxxp://pool.ug/tesptc/test/updatewin.exe
由于加密文件过程可能会造成机器卡顿,病毒会利用此模块伪装当前系统正在进行主要更新,防止受害者创造非常。
hxxp://pool.ug/tesptc/test/3.exe
该模块实在为一个TeamViewer压缩包,被Patch后的TeamViewer安装包运行后将实行TeamViewer.exe主程序,且运行后将无任何界面显示,并将当前所需远程的ID,密码上传到病毒作者手中。当病毒作者通过接管到的ID,密码远程登任命户电脑后,即可对用户机器进行任意的远程掌握。
hxxp://pool.ug/tesptc/test/4.exe(暂已无法下载)
hxxp://pool.ug/tesptc/test/5.exe(AZORult窃密木马)
部分模块已有剖析,不在赘述,可参考:
《DATAWAIT打单病毒现身 腾讯电脑管家率先解密》
https://mp.weixin.qq.com/s/0HNsULH4LIRnzFT_v3qUqQ
与早期病毒版天职歧之处为新增AZORult窃密木马,该木马可盗取用户浏览器、邮箱、Skype、Telegram、Steam等软件的密码和配置信息。
木马利用C2:hxxp://pool.ug/1/index.php
三、关于Stop打单病毒毁坏的解密修复
该病毒能否解密紧张有以下3种情形:
1.早期部分病毒版本由于其做事器天生密钥接口存在毛病,当第一次要求接口时,做事器天生返回新的Key数据,而当再次访问密钥天生接口,做事器则会把该mac要求天生过的Key直接返回,针对此bug可拿到密钥实现解密。
2.病毒利用Key天生接口失落活情形下,病毒会利用离线Key进行加密,该情形下,也可实现解密,国外有安全研究职员也针对此病毒版本进行了离线密钥的长期网络并开拓理解密工具。
下载地址如下:
Https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
3.病毒加密时利用了在线天生的Key,且后续无法通过其对应的做事接口得到Key信息,此情形暂时无法解密。
通过剖析考试测验编写测试代码,在病毒Key天生接口失落活情形下的加密文件可实现解密
国外有安全研究员整理了浩瀚病毒版本,并供应了病毒离线加密情形下的免费解密工具:
四、安全建议
企业用户:
1、 只管即便关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只许可白名单内的IP连接上岸。
2、 只管即便关闭不必要的文件共享,如有须要,请利用ACL和强密码保护来限定访问权限,禁用对共享文件夹的匿名访问。
3、 采取高强度的密码,避免利用弱口令密码,并定期改换密码。建议做事器密码利用高强度且无规律密码,并且逼迫哀求每个做事器利用不同密码管理。
4、 对没有互联需求的做事器/事情站内部访问设置相应掌握,避免可连外网做事器被攻击后作为跳板进一步攻击其他做事器。
5、 对主要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/做事器支配专业安全防护软件,Web做事器可考虑支配在腾讯云等具备专业安全防护能力的云做事。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面理解、管理企业内网安全状况、保护企业安全。
个人用户:
1、 开启腾讯电脑管家,拦截stop打单病毒攻击;
2、 打开腾讯电脑管家的文档守护者功能,利用磁盘冗余空间备份资料,万一不幸中招,可以完备规复数据。
IOCs
MD5:
e3083483121cd288264f8c5624fb2cd1
996ba35165bb62473d2a6743a5200d45
e1167cb7f3735d4edec5f7219cea64ef
7637e83def3c66546bb4a6ee5e963b03
a3870e4202cb9f95698a4686fff2e6bb
4182570e406e84333debc2645a8317af
URL:
hxxp://pool.ug/tesptc/test/updatewin1.exe
hxxp://pool.ug/tesptc/test/updatewin2.exe
hxxp://pool.ug/tesptc/test/updatewin.exe
hxxp://pool.ug/tesptc/test/3.exe
hxxp://pool.ug/tesptc/test/4.exe
hxxp://pool.ug/tesptc/test/5.exe
hxxp://root.ug/ASdgdrega73264iUKdu7364ykdhfjgdftest/Asduheweyfguyfgkhjasdfasdf/get.php?pid=(mac-hash)
hxxp://pool.ug/1/index.php
