*865qq病毒样本分析报告

作者: 国瑞IT

来源: http://www.grit.com.cn

浏览:

一、简述

近日,国瑞IT安全服务中心在用户设备上捕获Persephone865qq.exe病毒样本,经分析此病毒为GlobeImposter2.0(十二主神2.0)勒索病毒家族变种,使用非对称加密文件,样本产生时期为2019年10月份左右,是当前较新的版本,加密文件后缀以.Persephone865qq文件结尾,并留下信息向受害者索要赎金。

为了更安全帮助客户解决被加密问题,以及更全面了解病毒运行机制,国瑞IT安全服务中心对样本做了逆向分析,相信本类型其他英文名+865qq病毒的运行机制也大致相近,以供相关参考。


样本信息:

文件: C:\Users\xxx\Desktop\Persephone865qq.exe

大小: 213504 bytes

修改时间: 2019年10月10日, 18:34:48

MD5: 5B4820440FA43051DFA1BCC53319E32B

SHA1: DF5F2AA8E50208E0D62496EABCA312D038B6B2CA

CRC32: C10E3BB9


二、病毒特征及危害:

1.病毒运行后会关闭保护和数据库进程。

2.全盘加密指定类型文件。

3.创建勒索信息文件。

4.自删除等。


三、病毒运行机制分析

3.1 主线程分析

准备工作:如果路径前两个字节是“\\” 则拷贝自身到临时目录并运行


准备工作:提升进程权限,为以后结束数据库相关进程和加密其文件做准备


遍历文件加密文件分为两种情况,如下:

① .带命令行参数的情况,如果参数是文件夹 则加入链表否则直接加密


②.不带命令行参数的情况 首先会禁用Windows defender微软安全软件,防止病毒被其删除、添加自启动、删除磁盘卷影 停止数据库服务、挂载卷、遍历卷和网络共享资源并加入链表

首先禁用Windows defender微软安全软件:


添加自启动,用于持久化


删除磁盘卷影 停止数据库服务,为后期加密数据库文件做准备


挂载卷,遍历磁盘,把之前遍历的卷并加入链表


遍历网络共享资源并加入链表


3.2 子线程一(遍历链表中所有卷 创建线程处理)


等待任意线程结束 再次遍历链表 将新添加的文件夹路径创建线程处理


3.3子线程二

遍历文件夹 排除特定文件文件夹 并加密文件


排除自身生成的文件和特定文件目录


去掉文件只读属性


跳过特定后缀和已经加密过的


以源文件名加上勒索后缀,重命名,跳过空文件


将文件大小添加0x300字节用于保存密钥等数据




加密文件主要逻辑



收尾工作:线程一结束 即所有文件处理完毕。

删除自启动


删除磁盘卷影 删除远程桌面连接信息 删除系统日志


最后调用cmd自删除



四、勒索提示

病毒会在自身文件夹中创建ids.txt文件用于保存错误日志 密钥等信息


并且会创建HOW TO BACK YOUR FILES.exe文件。


五、安全建议

1.现阶段勒索病毒都会使用RSA等非对称加密,所以用户要定期对重要文件离线备份。

2.打好系统安全补丁,尤其是一些重要的,如MS17010等。

3.不要点击来源不明的邮件附件,不从不明网站下载软件。

4.使用高强度密码,避免黑客利用弱口令暴力破解

5.尽量关闭不必要的文件共享权限,尽量关闭445,135,139,3389等不必要的端口。

6.安装杀毒软件,及时更新病毒库版本

7.加强内部人员网络安全意识培训,降低安全风险。



24小时应急响应热线:15021662155 / 15611033457

*865qq病毒样本分析报告
pig865qq,dragon865qq,tiger865qq,rooster865qqz,snake865qq,horse865qq,skunk865qq,dog4444qq,monkey865qq,rabbit865qq,rat865qq,alco865qq,goat865qq,ox865qqz
长按图片保存/分享
0
近期爆发病毒
搜索

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了