最新病毒庫日期:
              • AVCrypt:一款嘗試卸載反病毒軟件的勒索病毒
              2018-04-09 18:44 來源:未知
              【文章摘要】近期國外發現一款名為AVCrypt的勒索軟件,該勒索軟件在執行文件加密操作前會嘗試卸載已安裝的反病毒軟件,并且嘗試移除大量與系統安全相關的服務,從而弱化系統的防御力。 該勒

              近期國外發現一款名為AVCrypt的勒索軟件,該勒索軟件在執行文件加密操作前會嘗試卸載已安裝的反病毒軟件,并且嘗試移除大量與系統安全相關的服務,從而弱化系統的防御力。

              該勒索軟件利用了反病毒軟件會在Windows安全中心注冊的特性,從而使用WMI(Window Management Instrumentation)工具查詢并嘗試卸載防病毒軟件,之后通過洋蔥路由向暗網域名發送感染主機相關信息和加密密鑰,然后加密磁盤文件,而后修改桌面圖片引導用戶進行付費解密操作,最終實現勒索行為。江民安全實驗室通過分析發現,該勒索軟件還處于開發完善階段,因其內部的大量調試信息還未移除,且其部分功能還并沒有完善,故此次應該屬于小范圍病毒的分發測試。江民安全實驗室建議廣大用戶安裝殺毒軟件預防此類勒索軟件的攻擊,江民反病毒產品能有效實時檢測并抵抗此類病毒的行為,幫助用戶遠離此類威脅。

              樣本詳細分析報告:

              調整當前進程權限令牌至SeShutdownPrivilege權限等級,彈窗顯示“cont………”(猜測用于測試版本使用),創建名“.$”的互斥體防止病毒程序重復啟動。

              圖1 創建互斥體防止病毒重復啟動 

              獲取當前系統版本,判斷當前系統是否是Vista之后的系統版本,如果是則直接執行下一步感染策略,如果是Vista版本以前的系統則嘗試獲取進程令牌信息,如能正確獲取到令牌信息則執行下一步感染否則便使用ShellExecuteExW函數以管理員權限重新啟動病毒文件。

               


              圖2 獲取系統版本執行后續流程

              使用IsDebuggerPresent函數做了一個簡單的反調試,如果有調試器對病毒程序進行調試則退出程序,不執行任何操作。嘗試打開注冊表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe,該注冊表作為第一階段感染成功標志,打開失敗則開始第一階段感染部署,打開該注冊表成功則意味著感染部署過程已經執行過了,那么病毒程序就在%temp%目錄下生成名為“++.bat”文件執行結束進程并進行自刪除操作。

               

              圖3.1 判斷系統是否已被成功感染

               

              圖3.2 生成++.bat文件實現自刪除

              由于該勒索軟件目前還處于開發測試階段,內含大量調試信息未清除,因此可以十分清楚其感染部署過程,整個感染過程以如下流程進行。

               

               

              圖4 病毒感染部署的主要流程

               

              病毒首先使用WMI(Window Management Instrumentation)組件的接口獲取IWbemClassObject對象,然后利用該對象的ConnectServer方法連接組件內命名空間“Root\\SecurityCenter2”,嘗試調用該對象的DeleteInstance方法關閉Microsoft Security Essentials、Malwarebytes、MicrosoftSecurity Essentials、Windows Defender四個與反病毒相關的系統進程實例。

               

               

              圖5.1 連接Windows安全中心

               

               

              圖5.2 刪除Windows自帶的反病毒程序實例

               

              在關閉Windows Defender等四個系統自帶的反病毒程序后,病毒在配置注冊表后啟動了Windows管理服務程序WinMgmt.exe用于支持后續惡意行為,之后再次連接Windows安全中心查找在系統注冊的反病毒軟件并試圖移出反病毒程序以便于執行后續的加密勒索操作,其中查找反病毒軟件的方法可以用CMD命令模擬,CMD命令如下:

              圖6.1 通過CMD命令查詢反病毒程序

               

               

              圖6.2 查詢已經安全的反病毒程序

               

               

              圖6.3 嘗試卸載反病毒程序

               

              設置注冊表項使病毒能夠開機自啟動,之后設置病毒文件為系統隱藏屬性,并更改注冊表項完全關閉系統顯示隱藏文件的功能,使得病毒文件在完成惡意操作時不容易被發現。

               

               

              圖7.1 設置病毒啟動項 

              圖7.2 設置病毒文件為系統隱藏屬性

               

              完成勒索病毒的啟動項配置后便全面配置整個注冊表項,關閉系統與安全相關的大部分功能,弱化系統的防御能力,其中修改的注冊表項如下。

               

               

              圖8 修改的注冊表項

               

              注冊表配置完成后便會修改系統啟動文件,刪除系統恢復選項防止用戶通過恢復系統來恢復文件,靜默刪除系統備份文件,刪除卷影副本,再使用SRRemoveRestorePoint函數刪除系統還原點,刪除數量為1005個還原點,使得用戶不可能通過系統還原來恢復文件,之后通過CMD命令形式刪除系統與安全相關的大部分服務。

               


              圖9.1 刪除備份相關文件

               

               

              圖9.2 將要移除的Windows服務

               

               

              圖9.3 移除Windows相關服務的命令

               

              刪除相關服務后,開啟新的線程為自身創建窗口,根據接受到的窗口消息執行不同的行為,主要有顯示正在安裝窗口的行為,禁止用戶關機并發出惡作劇的聲音使用戶主機無法正常工作。

               

               

              圖10 創建窗口接受相關消息

               

              之后遍歷進程查找洋蔥路由進程Tor.exe,如果找到該進程便嘗試和指定暗網域名bxp44w3qwwrmuupc[.]onion進行通訊,嘗試發送感染主機所在地區的時區,系統版本以及使用的加密密鑰。

               

               

              圖11.1 根據Tor.exe是否存在執行后續流程

               

               

              圖11.2 連接指定暗網域名發送用戶信息

               

              如果沒有找到洋蔥路由進程,則將從自身的資源節中釋放t.zip,其中包含了Tor.exe進程,解壓完成后便使用CreateProcess函數創建進程再調用之前連接暗網域名發送主機信息的函數。

               

               

              圖12.1 釋放t.zip文件內含Tor.exe文件

               

               

              圖12.2 創建Tor.exe進程

               

              在完成密鑰傳輸之后便開始常規的加密文件的過程,加密文件過后勒索軟件會在被加密的文件前添加一個“+”號,以此標識該文件已被加密,加密完成后會在每一個目錄下生成一個+HOW_TO_UNLOCK.txt文件,現在該文件只有內容“lol n”,由于該病毒中存在大量調試信息因此可以猜測該病毒正處于開發階段,這也可以解釋為什么+HOW_TO_UNLOCK.txt文件中沒有引導用戶進行付費解密的原因。

               

               

              圖13 加密文件操作

               

              加密文件系統完成后便會設置桌面圖標為勒索軟件在%temp%目錄下釋放的t.bmp文件,然后引導用于閱讀+HOW_TO_UNLOCK.txt內容,最終使用戶進行付費解密操作,完成勒索行為。

               

               

              圖14 改變桌面引導用戶進行付費解密

               

              之后便在注冊表添加感染完成標志HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe\,然后釋放“+.bat”批處理文件執行最后的清理行為,將會結束自身進程,刪除病毒文件,刪除開機啟動項設置,刪除相關日志事件,清理剪切板內容等操作,最后結束進程。

               

               

              圖15 生成+.bat文件實現后續清理工作

               

              小結

              用戶在感染該勒索病毒后文件會被惡意加密,且其嘗試卸載反病毒軟件,使用多種方式弱化系統防御,移除大量與安全相關的服務,使得系統感染該病毒后在網絡環境下安全性變得十分脆弱。江民安全實驗室建議用戶保持良好的上網習慣,安裝殺毒軟件(如江民殺毒軟件等)預防此類型病毒的感染。

              全民彩票手机版