一 背景:
近期,一款新型的勒索软件在网上流传,与一般勒索文档型的勒索软件最大不同有以下两点,一是该勒索软件会加密用户的所有文件格式,而不仅仅是文档类型的格式文件。二是该勒索软件并没有向受害用户提供支付赎金的钱包地址等信息。
该勒索软件会将加密后的文件扩展名重新定义为.fucking,因此,我们将其命名为fucking勒索软件。由于赎金的支付方式也没有在勒索软件中有所体现,这看起来更像是定向勒索或者恶作剧软件。
该勒索软件并没有支付赎金的说明文件等内容,更可能是通过在社交群中或者共享盘中传播,恶意软件作者在传播勒索软件时,会通过另外的方式留下自己的联系方式。一种可能的攻击场景是勒索木马作者自己建立一个用户圈子,通过欺骗等手段向圈子里的用户发送勒索软件,在圈子里的用户发现文件被勒索后,通过这个圈子,找到木马作者,而此时木马作者再向受害用户索要赎金。
勒索成功后,弹出的解密对话框如下:
文件加密后的显示结果如下:
二 分析:
恶意软件的详细的文件信息:
而勒索程序体积很小,只有125,952 字节。
勒索程序使用C#编号,反编译后,代码结构图如下,可以看到程序的代码做了一定的混淆:
通过分析勒索程序的窗口类,可以看到程序带有3个form界面,其中的form1隐藏运行,并不会显示出窗口,用于遍历文件和加密文件。Form2用来显示提示用户输入解密密码。Form3只有在输入了正确的解密密码后才出显示出来,在没有正确的解密密码时,不会看到form3的界面。
每个form控件的功能如下:
Form1 加密文件,隐藏运行
Form2 提示用户输入解密密码
Form3 解密文件,只有在form2中输入了正确的密码才会显示
我们将分析其对文件的加密与解密过程。
加密过程
在加密时,会隐藏加载form1界面,Form1界面中会有listbox控件,用来存放遍历到的要加密的文件路径,遍历指定文件夹下的文件,将文件路径加入到form1中的listbox1控件中,然后在定时器到时后,加密listbox1中的文件
Form1的隐藏运行:
遍历目录,遍历的根目录到盘符Z:
遍历到文件后,判断文件名是不是以fucking结尾,如果不是fucking后缀,就将文件名加入到listbox1列表中。
最后程序会设置一个计时器,当计时器到达时间时,会将listbox1控件中的文件取出来,进行加密,下面为生成加密KEY及加密文件的过程
对文件的加密使用了AES对称加密算法。
AES算法中使用的 Key 和 IV的计算过程如下:
计算硬编码的字符串"FucktheSystem"的sha512的hash值,hash结果的十六进制表示如下:
DB 5D 07 9E FA 07 AE A3 EE 81 64 DB 76 D9 6A BE
EB BE 3E 71 8F 36 B1 E7 E0 DA 94 16 90 C8 18 84
62 F1 01 62 03 F2 D1 89 E6 39 34 6B 5B 24 35 D3
72 1F ED 11 C7 0C 3C 29 0F 7F 72 EE F5 1B 64 62
取该hash值最前面的0x20字节做为Key, 下图中的绿色框部分
取该hash 偏移0x20-0x30的内容做为IV,下图中的红色框部分
计算key的代码如下:
计算IV的过程与上面计算key的过程类似,在此不再赘述。
Timer1时间间隔100ms,到达时间后,就是调用加密过程
对文件的加密过程的调试,可以看到
将“C:\Users\forrest\Documents\desktop.ini”
加密成“C:\Users\forrest\Documents\desktop.ini.fucking”
使用的key和IV分别如下图所示
解密过程:
form2窗口对应着解密窗口,显示如下:
但用户输入密码后,程序会在后台判断是否与指定的密码相同,如果密码正确就会弹出form3进行解密文件,否则就会弹出下面的出错提示。
对密码的判断逻辑,可以看到程序将用户输入的密码与一个函数的返回值进行了比较,如果相同,就调用form3的显示函数,并把form2隐藏,如果不相同,刚弹出出错对话框:
其中的m4bpguG5abU260W8Ln类为程序作者自定义的字符串操作类,m4bpguG5abU260W8Ln类的iAGT7PZUW方法为取得指定偏移处的字符串,类似于C语言中的substring的函数。
iAGT7PZUW函数内部实现过程:
从上面的代码可以看出密码保存在偏移1124(十进制)的位置。在此时,也可以将字符表dump出来,保存到本地进行查看。
第一个DWORD为字符大小,这里为0000002c
通过下面可以看到偏移1124(十进制)位置处的字符串长度为:0x2c,字符串内容为:“maaf saya lupa passnya”
因此,可以得到Form2的解密密码“maaf saya lupa passnya”。
输入正确的密码后,form2界面会隐藏,form3界面会显示出来 ,程序会在后台遍历保存的文件名,利用AES将其解密成原始文件。
三 数据恢复:
在弹出的窗口中输入密码:maaf saya lupa passnya,就可成功解密文件
解密成功后的截图如下:
四 总结
Fucking勒索软件与传统的aes+rsa的勒索软件不同,它设计思路简单,与我们以前分析的sega勒索相比,它的设计思路简直就是渣渣。与我们以前分析的CryptoShield 勒索家族相比,CryptoShield 家族至少做到了一机一密,而Fucking勒索软件的密码是固定的,对所有的机器都使用统一的密码,这一方面因为它不是面向大众传播的,而是针对特定的人群,通过特定的渠道传播,另一方面也可能是由于勒索作者的编程水平所限。
如果您被此类勒索软件勒索,建议尝试使用密码“maaf saya lupa passnya”进行解密尝试,如果不能成功解密,可能是恶意软件作者进行了代码升级,建议联系专业的安全研究人员进行分析解密。
CryptoShield 勒索分析请参照:https://xianzhi.aliyun.com/forum/read/726.html
sega勒索分析请参照:https://xianzhi.aliyun.com/forum/read/799.html