新勒索软件来袭——anatova

新的勒索软件,称之为Anatova(基于赎金条的名称)。Anatova是在一个私有的点对点(p2p) 络中被发现的。

尽管Anatova相对较新,但我们已在全球范围内发现都检测到

我们认为Anatova可能成为一个严重的威胁,因为它的代码是为模块化扩展做准备的。

在分析中我们使用了这个特定的哈希值:170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0

Anatova的主要目标是在受害者付款之前加密所有文件。

一、Anatova简介

Anatova通常使用游戏或应用程序的图标来欺骗用户下载。它有一个清单来请求管理员权限。

二进制文件信息

Anatova勒索软件是一个64位应用程序,编译日期为2019年1月1日。此特定散列的文件大小为307kb,但由于样本中使用的资源量,可能会发生变化。如果我们删除所有这些资源,大小为32kb;一个非常小的程序,里面有一个强大的机制。

Anatova有一些强大的静态分析保护技术,这让事情变得有些棘手:

· 大多数字符串都是加密的(Unicode和Ascii),使用不同的密钥对它们进行解密,嵌入在可执行文件中。

· 90%的调用是动态的;它们仅使用以下非可疑的Windows API和C编程语言的标准库:GetModuleHandleW,LoadLibraryW,GetProcAddress,ExitProcess和MessageBoxA。

IDA Pro 7.2最新版本中的问题

二、初始感染向量

目前,我们不知道Anatova正在使用或将要使用的感染向量。我们最初的发现位置是私人p2p。

与其他勒索软件系列一样,Anatova的目标是加密受感染系统上的所有或多个文件,并要求付款以解锁它们。该攻击者要求以10 DASH的加密货币支付赎金 – 目前价值约700美元,与其他勒索软件家族相比而言比较高。

三、版本1.0的亮点

由于这是一个新的系列,在代码中找不到任何版本 ,我们称之为1.0版本。

恶意软件执行的第一个操作是获取“kernel32.dll”库的模块句柄,并使用“GetProcAddress”从中获取29个函数。

解密字符串后获取kernel32中的函数

如果恶意软件无法获取kernel32的模块句柄,或者找不到某些函数,它将退出而不执行任何加密。

检查互斥体

在此检查之后,Anatova将使用与kernel 相同的流程从“advapi32.dll”,“Crypt32.dll”和“Shell32.dll”库中获取一些函数。所有文本都经过加密和解密,获取函数,释放内存,然后继续下一个。

如果它无法获得一些这些模块或它需要的一些函数,它将转到清理工具流程并退出。

我们发现的一个有趣的功能是Anatova将检索登录和/或活动用户的用户名,并与加密的名称列表进行比较。如果检测到其中一个名称,它将进入清理流程并退出。

搜索的用户列表是:

· LaVirulera

· tester

· Tester

· analyst

· Analyst

· lab

· Lab

· Malware

· malware

某些分析人员或虚拟机/沙箱在其设置中使用这些默认用户名,这意味着勒索软件无法在这些计算机/沙箱上运行。

在用户检查之后,Anatova将检查系统的语言。当用户安装Windows操作系统时,他们会选择一种语言来安装(虽然以后用户可以安装不同的语言)。

Anatova会检查系统上第一个安装的语言,确保用户无法安装这些列入黑名单的语言之一从而避免加密文件。

Anatova不影响的国家名单如下:

· 所有独联体国家

· 叙利亚

· 埃及

· 摩洛哥

· 伊拉克

· 印度

检查系统语言

在语言检查之后,Anatova会查找一个标志,在我们查看的所有样本中,该值都为0,但如果此标志将更改为值1(当前恶意软件样本永远不会更改该值),则会加载两个DLL,其名称(解密后)为“extra1.dll”和“extra2.dll”。这可能表明Anatova准备模块化或在不久的将来扩展其功能。

加载额外的模块

在此之后,恶意软件枚举系统中的所有进程并将它们与大型列表进行比较,例如“steam.exe”,“sqlserver.exe”等。如果发现其中一些进程,恶意软件将打开并且终止他们。此操作是典型的勒索软件,它试图解锁稍后将被加密的文件,例如数据库文件、游戏文件、Office相关文件等。

下一步操作是使用crypto API创建一对RSA密钥,用来加密所有字符串。此功能与其他勒索软件系列相同,例如GandCrab或Crysis。它确保将使用的密钥是因用户和执行次数而异。

如果恶意软件无法创建密钥,它将转到清理流程并退出。

在此之后,Anatova将使用crypto API “CryptGenRandom”函数生成32位的随机密钥和8字节的另一个值,以在运行时使用Salsa20算法和私有的blob密钥进行加密。

在文件加密过程中,它将解密2层加密样本的主RSA公钥,第一个是值为0x55的XOR,第二个是使用硬编码密钥和IV解密使用Salsa20算法的样本。

从第一层解密样本的主RSA公钥

在此之后,导入公钥并使用它加密Salsa20密钥和IV,这两个参数用于在运行时加密RSA私钥。

下一步是准备一个内存缓冲区并加密所有信息(Salsa20密钥,Salsa20 IV和RSA私钥)。它使用函数“CryptBinaryToStringA”在BASE64中创建一个大字符串。勒索软件稍后将清除计算机内存中的密钥、IV和RSA私钥,防止任何人从内存中转储此信息并创建解密器。

如果不起作用的话,Anatova将自行删除,进入清理流程并退出。

当密钥在内存缓冲区中加密时,Anatova将枚举所有逻辑单元,并将搜索DRIVE_FIXED类型的所有现有实例(例如普通硬盘)或DRIVE_REMOTE(用于安装的远程 络共享)。Anatova将尝试加密每个位置上的文件。这意味着当 络共享上的文件被加密时,公司受害者可能会导致重大事故。

检查所有逻辑单元

对于每个已安装的驱动器(硬盘或远程共享),Anatova将获取所有文件和文件夹。稍后会检查它是否是一个文件夹,如果是,将检查文件夹名是否为“.”和“..”,以避免同一目录和上一个目录。

检查文件名和扩展名

如果通过此检查,Anatova将打开该文件并获取大小,并将其与1 MB进行比较。 Anatova只会加密1MB或更小的文件,以避免在大文件上浪费时间;它想要快速加密。通过在加密文件的末尾设置指针,Anatova确保它不会加密已加密的文件。

接下来,Anatova将创建一个32位的随机值作为Salsa20算法的密钥,另一个值为8字节,将用作Salsa20的IV。

使用这些值,它将读取内存中的所有文件或最大大小为1MB的文件,并使用Salsa20算法使用密钥和IV加密此信息(这是最近非常流行的,因为它是一种非常快速的算法并且具有开源实现)。

加密文件函数

它将导入在运行时创建的RSA公钥,并使用它加密用于加密文件的密钥和IV。接下来,它从文件的开头将加密的内容写入同一文件中,然后将指针指向文件的末尾并写入如下内容:

· 使用RSA公钥加密的Salsa20密钥。

· 使用RSA公钥加密的Salsa20 IV。

· 文件大小(小于1 MB)。

· 出现在赎金票据中的每个样本的特殊硬编码值。

· 样本中的特殊硬编码值,它是之前检查的感染标记,以避免两次加密同一文件。

完成后,Anatova将在同一文件夹中写入赎金票据。因此,如果Anatova无法对文件夹中的某些内容进行加密,则不会在此文件夹中创建赎金票据,赎金条仅在受影响的文件夹中出现。

此行为与在所有文件夹中均写入勒索信息的其他勒索软件系列不同。

Anatova不会覆盖赎金票据,如果它已存在于文件夹中,这可节省时间。赎金票据包含base64块,其中包含解密以字符串“ – KEY–”开头的块中的文件所需的所有加密信息,以及id。

然后允许响应的受害者免费解密一个最大大小为200kb的.jpg文件,作为他们可以获取解密文件的证据。

赎金票据样例

完成所有这些后,Anatova将非常快速地破坏Volume Shadow副本10次。与大多数勒索软件系列一样,它使用vssadmin程序(需要管理员权限)来运行和删除Volume Shadow副本。

删除Volume Shadow 10次

最后,当所有步骤完成后,勒索软件将遵循清理流程,如前所述,主要是为了防止转储可能有助于创建解密工具的内存代码。

四、覆盖范围

McAfee 关和端点产品的客户受此版本保护。检测名称包括Ransom-Anatova![partialhash]。

IoC

样本使用以下MITRE ATT&CK?技术:

· 通过API执行

· 应用程序进程发现

· 文件和目录发现:搜索要加密的文件

· 加密文件

· 进程发现:枚举终端上的所有进程以杀死一些特殊进程

· 创建文件

· 提升权限:请求运行。

· 创建互斥体

Hashes:

· 2a0da563f5b88c4d630aefbcd212a35e

· 366770ebfd096b69e5017a3e33577a94

· 9d844d5480eec1715b18e3f6472618aa

· 61139db0bbe4937cd1afc0b818049891

· 596ebe227dcd03863e0a740b6c605924

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2019年1月27日
下一篇 2019年1月27日

相关推荐