近日,蘭云科技銀河實(shí)驗(yàn)室通過(guò)“蘭眼下一代威脅感知系統(tǒng)”發(fā)現(xiàn)一款新型勒索軟件 —— MZP 勒索軟件,也可叫作 Dot 勒索軟件,最早由 AmigoA 和 AkhmendTaia 在 2019 年 12 月 31 日首次發(fā)現(xiàn)。在勒索軟件的開(kāi)頭前三個(gè)字節(jié)為 4D 5A 50,即 MZP,所以稱(chēng)為 MZP(這個(gè) P 代表的是 Pascal) 勒索軟件,其特征為附加到加密文件的擴(kuò)展名為一個(gè)長(zhǎng)度為 8 的隨機(jī)字符串?!碧m眼下一代威脅感知系統(tǒng)”對(duì)其檢測(cè)結(jié)果如圖 1-1 所示:
圖 1-1
勒索軟件的圖標(biāo)為一個(gè)卡通人物 Dot(20 世紀(jì) 90 年代中期流行的華納兄弟卡通系列《Animaniacs》中的人物)的樣子,這也就是為什么把它稱(chēng)作 Dot 勒索軟件,如圖 2-1 所示:
圖 2-1
勒索后桌面出現(xiàn)如圖 2-2 所示情況:
圖 2-2
勒索信息文本如圖 2-3 所示:
圖 2-3
勒索后加密文件的后綴名為:przfqehd(隨機(jī)的一個(gè) 8 位的字符串)
經(jīng) DIE 查殼可知,該勒索病毒加了 UPX 殼(3.91),且為 Delphi 編譯的 Win32 程序,如圖 3-1-1 所示:
這也證實(shí)了 MZP 中的 P,Delphi 的前身就為 Pascal,MZP 勒索軟件二進(jìn)制數(shù)據(jù)如圖 3-1-2 所示:
既然有殼,則先脫之,如圖 3-1-3 所示:
在對(duì)其反編譯后,發(fā)現(xiàn)使用了 KOL 。眾所周知,對(duì)于用 Delphi 開(kāi)發(fā)的程序(GUI)來(lái)說(shuō),體積都比較大,為了盡可能減少體積,可使用 KOL,如圖 3-2-1 所示:
除此之外,在類(lèi)的名字里發(fā)現(xiàn)有 AES 字樣,從這可猜測(cè)用了 AES 算法加密,如圖 3-2-2 所示:
那這個(gè)類(lèi)是在哪個(gè)單元呢,通過(guò)列舉出的單元列表中,發(fā)現(xiàn) Unit_0040E340 單元處的類(lèi)信息顯示出 ThiAESCipher,起始地址為 0x0040E340,如圖 3-2-3 所示:
由于沒(méi)有重定位,所以可以直接定位到加密算法處,如圖 3-2-4 所示:
同時(shí) HiAsm 這個(gè)字符串也引起了我的注意,HiAsm 是一個(gè)用于 Delphi 開(kāi)發(fā)的舊 IDE,這個(gè) IDE 是由俄羅斯人開(kāi)發(fā)的,包括上面提到的 KOL,這款勒索軟件可能由這個(gè) IDE 開(kāi)發(fā)的,如圖 3-2-5 所示:
我們?cè)賮?lái)看看字符串,通過(guò)字符串一般能夠猜測(cè)出程序需要做哪些操作,如圖 3-2-6 所示:
比如 comctl32.dll 中的 InitCommonControlEx 和 _TrackMouseEvent,用于初始化控件和捕獲鼠標(biāo)的位置,可能存在反沙箱,也可能是繞過(guò) UAC(UACME 中的 #21 和 #22)。除了這個(gè),還有與注冊(cè)表和加密文本有關(guān)。
勒索軟件最開(kāi)始會(huì)去嘗試打開(kāi) HKEY_CURRENT_USER\Software\Borland\Locales 和 HKEY_CURRENT_USER\Software\Borland\Delphi\Locales 注冊(cè)表項(xiàng)來(lái)探測(cè)環(huán)境,如圖 3-3-1 所示:
只需兩者中的一個(gè)存在,就會(huì)去查詢(xún)相關(guān)環(huán)境配置信息,如圖 3-3-2 所示:
除了上述兩個(gè)注冊(cè)表項(xiàng)外,它還會(huì)去 HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\RTL 下讀取 FPUMaskValue,來(lái)確定此環(huán)境下是否能支持 Delphi 程序的運(yùn)行,如圖 3-3-3 所示:
在完成上述操作后,緊接著是獲取語(yǔ)言版本信息,并以此作為擴(kuò)展名將自身加載為數(shù)據(jù)文件,如圖 3-4-1 所示:
在測(cè)試環(huán)境中,獲取到的語(yǔ)言為 CHS,具體信息如圖 3-4-2 所示:
以上總的流程如圖 3-4-3 所示:
勒索核心主要是位于 sub_410BB4 中,如圖 3-5-1 所示:
還記得最開(kāi)始提到的 MZP 嗎?其實(shí)可以用壓縮軟件解壓出來(lái),這里用 7-ZIP 對(duì)其進(jìn)行解壓,如圖 3-5-2 所示:
在上述解壓出來(lái)的資源文件中,發(fā)現(xiàn)有個(gè) STR1,這個(gè)就為勒索信息文本字符串,%1 表示的是 Key,如圖 3-5-3 所示:
將資源全部拷貝到內(nèi)存中,這是通過(guò) sub_403218 實(shí)現(xiàn),如圖 3-5-4 和 3-5-5 所示:
圖3-5-5
循環(huán)遍歷目錄下的文件,并對(duì)其進(jìn)行加密,如圖 3-5-6 所示:
加密操作主要是在 sub_40CE00 當(dāng)中進(jìn)行,每當(dāng)加密完后會(huì)對(duì)原文件進(jìn)行刪除操作,如圖 3-5-7 所示:
在加密的過(guò)程中會(huì)以字符串 QWAHNJZCUF 為基礎(chǔ),經(jīng)過(guò) sub_004026F4 和 sub_00403430 算出一個(gè) 0×258 大小的字符串存儲(chǔ)在起始地址為 0x004221AC 的內(nèi)存中,這個(gè)就是密鑰,如圖 3-5-8 和 3-5-9 所示:
這塊大小為 0×258 的字符串密鑰生成取決于 EDX 中的值,EDX 的值是通過(guò) GetSystemTime 獲取當(dāng)前時(shí)間得到的,它會(huì)把毫秒的值給到 EDX,并做下一步計(jì)算(sub_004026F4),先來(lái)看下 SYSTEMTIME 結(jié)構(gòu)體的定義,如下:
// System time is represented with the following structure:typedef struct _SYSTEMTIME { WORD wYear; WORD wMonth; WORD wDayOfWeek; WORD wDay; WORD wHour; WORD wMinute; WORD wSecond; WORD wMilliseconds; } SYSTEMTIME, *PSYSTEMTIME, *LPSYSTEMTIME;
SYSTEMTIME 結(jié)構(gòu)體里有 8 個(gè)成員,全部為 WORD 類(lèi)型,占 2 個(gè)字節(jié),分別為年、月、周、天、時(shí)、分、秒、毫秒,如圖 3-5-10 所示:
在上面需要注意一個(gè)地方,那就是時(shí),因?yàn)楝F(xiàn)在處在東八區(qū),所以這里的時(shí)需要加上 8 才會(huì)等于當(dāng)前時(shí)間表示的時(shí)。我們?cè)俎D(zhuǎn)到 0x004026F4 處,在運(yùn)算過(guò)程中,EDX 與 EAX 相乘后結(jié)果存放在 EAX 會(huì)發(fā)生溢出,溢出的最高位會(huì)存放在 EDX 中,如圖 3-5-11 所示:
結(jié)果如圖 3-5-12 所示:
此時(shí) EDX 的值是 0×5,它代表的是字符串 QWAHNJZCUF 下標(biāo)的索引,從 0 開(kāi)始,所以該處會(huì)去索引 J,如圖 3-5-13 所示:
一共會(huì)循環(huán) 0×258 次,將此次過(guò)程用 C 來(lái)描述,相關(guān)代碼如下:
#include <stdio.h>#include <windows.h>int main(void){char BaseStr[] = "QWAHNJZCUF";char TargetStr[601] = ""; SYSTEMTIME SystemTime; GetSystemTime(&SystemTime); DWORD EDX = 0; DWORD EAX = (SystemTime.wHour * 0x3C + SystemTime.wMinute) * 0x3C; EAX = (EAX + SystemTime.wSecond) * 0x3E8; EDX = SystemTime.wMilliseconds; EAX = EAX + EDX; // 取開(kāi)始計(jì)算的 EAX 的初始值DWORD Temp = EAX; __int64 EAX64 = 0;// 0x258for (int n = 0; n < 600; ++n) {// EDX 為 UTC 時(shí)間的毫秒數(shù),EAX 為上面計(jì)算出來(lái)的數(shù)EDX = Temp * 0x8088405; EDX = EDX + 1; // 將 EDX 的值臨時(shí)保存起來(lái)以便下一次運(yùn)算Temp = EDX; EAX64 = (__int64)EDX * 0xA;// 將高位的數(shù)保存到 EDX 中,并將其右移 32 位作為下標(biāo)索引值EDX = (EAX64 & 0x0000000F00000000) >> 32; TargetStr[n] = BaseStr[EDX]; } printf("%s\n", TargetStr);return 0; }
根據(jù)當(dāng)前時(shí)間的毫秒數(shù)生成一個(gè)密鑰,如圖 3-5-14 所示:
生成的 8 位隨機(jī)后綴名為 przfqehd,這是 MZP 勒索軟件特征之一,與之過(guò)程涉及到的字符串跟圖 3-2-6 最后圈出來(lái)的 qwertyuiopasdfghjklzxcvbnm 有關(guān),這看起來(lái)是鍵盤(pán)上鍵的排列順序。同樣也是算出下標(biāo)來(lái)索引,通過(guò)索引出來(lái)的值組成后綴名,也是通過(guò) GetSystemTime 來(lái)獲取當(dāng)前時(shí)間的毫秒數(shù)來(lái)決定,不過(guò)需要注意一下數(shù)據(jù)類(lèi)型, 索引可超 10,生成的后綴如圖 3-5-15 所示:
MZP 勒索軟件采用 AES-256 加密,首次加密時(shí),會(huì)將文件內(nèi)容的 16 字節(jié)以每 4 字節(jié)一組進(jìn)行反轉(zhuǎn)再與反轉(zhuǎn)后的密鑰進(jìn)行異或,最后開(kāi)始多次輪循加密(每次加密輪數(shù) 0xE),如圖 3-5-1 所示:
根據(jù) AES 算法的輪函數(shù),可以建立 4 張置換表,通過(guò)查詢(xún)這 4 張表,并與該輪的密鑰進(jìn)行異或,可以直接得到該輪加密的結(jié)果,偽代碼如圖 3-5-17 所示:
提取其加密的輪函數(shù)如圖 3-5-18 所示:
經(jīng)多輪加密后將區(qū)塊內(nèi)容寫(xiě)到以 przfqehd 為后綴的文件中,如圖 3-5-18 所示:
待所有文件加密完成后,又會(huì)重新開(kāi)始遍歷文件(回跳到圖 3-5-6 中),將生成的勒索信息寫(xiě)入到文本文件中,并放到每個(gè)目錄下面,寫(xiě)入的勒索信息如圖 3-5-19 所示:
上圖出現(xiàn)的一串 key 的長(zhǎng)度為 0×258,這個(gè) key 為是通過(guò)如圖 3-5-20 對(duì)應(yīng)關(guān)系生成的:
關(guān)于解密,黑客可通過(guò)圖 3-5-19 勒索信息中給出的 key,再用圖 3-5-20 對(duì)應(yīng)的字母關(guān)系表轉(zhuǎn)換成密鑰,而沒(méi)再通過(guò)非對(duì)稱(chēng)加密對(duì)密鑰進(jìn)行進(jìn)一步處理,黑客不需要當(dāng)時(shí)加密文件的時(shí)間來(lái)獲取 0×258 大小的密鑰。最后,可通過(guò)上述 AES 算法的逆運(yùn)算就可解出。
在分析過(guò)程中,還發(fā)現(xiàn)有一個(gè)特殊操作,MZP 勒索軟件會(huì)通過(guò) GetKeyboardType 來(lái)獲取鍵盤(pán)的信息,如圖 4-1 所示:
第一個(gè)傳入的參數(shù)為 0,代表獲取鍵盤(pán)類(lèi)型信息,然后用返回值與 0×7 作比較,判斷是否為日語(yǔ)鍵盤(pán)布局;第二個(gè)傳入的參數(shù)為 1,代表獲取鍵盤(pán)子類(lèi)型信息,即鍵盤(pán)的 OEM 信息,通過(guò)該函數(shù)的返回值的高位再去和 0xD00 和 0×400 作比較,如圖 4-2 所示:
現(xiàn)在大多數(shù)勒索軟件會(huì)通過(guò)區(qū)域語(yǔ)言 ID 或者鍵盤(pán)布局來(lái)判斷所處的地區(qū),然后再?zèng)Q定是否執(zhí)行惡意操作,但是在這個(gè) MZP 勒索軟件中,發(fā)現(xiàn)并不是,雖然說(shuō)這段可疑,但依然阻止不了我的好奇心,在一家***論壇,發(fā)現(xiàn)與之有關(guān),如圖 4-3 所示:
但這位壇友并未透露意圖,看函數(shù)名稱(chēng)發(fā)現(xiàn),_isNECWindows,這個(gè) NEC 和注釋 wordaround a Japanse Win95 bug 引起了我的注意,NEC 為日本一家跨國(guó)信息技術(shù)公司,其中出產(chǎn)的產(chǎn)品就有 NEC 鍵盤(pán),似乎與這個(gè)有關(guān),后來(lái)發(fā)現(xiàn),這一段其實(shí)是來(lái)自于 KOL 源碼中的 system.pas 中的一部分,至于用途,不得而知!
近年勒索病毒頻繁出現(xiàn),我們每一個(gè)人都應(yīng)該提高警惕,切勿打開(kāi)來(lái)自可疑郵箱的附件,避免使用來(lái)源不明的第三方軟件資源;同時(shí),建議提前部署具備高級(jí)威脅檢測(cè)能力的安全產(chǎn)品進(jìn)行及時(shí)監(jiān)控、防范,降低安全隱患。
MD5:
d00c79e8e9a7552aee66db55c855f26b
Email:
recover_24_7@protonmail[.]com
*本文作者:蘭云科技銀河實(shí)驗(yàn)室
---------------------------------------------------------------------------------
解密/數(shù)據(jù)恢復(fù)協(xié)助說(shuō)明:
新的勒索型病毒幾乎每天都會(huì)出現(xiàn), 沒(méi)有任何技術(shù)可以對(duì)每種病毒解密. 在這種情況下, 通過(guò)破解加密KEY來(lái)救援. 盡管這是在沒(méi)有解密工具前提下的最有效的方法之一, 雖然不能確保 100 %恢復(fù),但未嘗不是可以嘗試的一種方法。
使用我們的服務(wù)試探性解密測(cè)試:
您可以嘗試與我公司聯(lián)系通過(guò)勒索型病毒破壞的文件進(jìn)行解密. 數(shù)據(jù)的分析需要 3-5 天, 之后, 我們將通知您解密的難易程度以及費(fèi)用(不成功不收任何費(fèi)用).為了提高加密文件的分析效率和真實(shí)度,煩請(qǐng)按照以下要求進(jìn)行加密文件的提供:
文件的數(shù)量應(yīng)不超過(guò) 4;
文件大小不超過(guò) 8 兆字節(jié);
文件必須從不同的文件夾;
文件必須是唯一的;
測(cè)試接受郵箱[email protected];
郵件中務(wù)必留有可直接聯(lián)系上手機(jī)號(hào)碼,如果未收到信息可能首次未聯(lián)系到本人,可直接電話(huà)咨詢(xún)進(jìn)度;
-------------------------------------------
青島廣聚信息科技有限公司
專(zhuān)攻術(shù)業(yè) 成就所托
24小時(shí)服務(wù)電話(huà):400-001-9776-2線(xiàn)
商務(wù)合作:[email protected]
山東省青島高新區(qū):山東省青島市高新區(qū)錦業(yè)路1號(hào)藍(lán)貝智造工場(chǎng)D5-1
Gaoxin Zone:D5-1,Lanbei Labs ,No.1, Jinye Road, high tech Zone, Qingdao, Shandong Province
山東省青島嶗山區(qū):山東省青島市嶗山區(qū)秦嶺路15號(hào)海韻東方1006室
Laoshan Zone: room 1006, Haiyun Dongfang, No. 15, Qinling Road, Laoshan District, Qingdao, Shandong Province
7*24小時(shí) 1V1專(zhuān)業(yè)顧問(wèn)咨詢(xún) 年度安全免費(fèi)巡檢 專(zhuān)家安全咨詢(xún)