一,行为简述 最近,令人信服的安全团队接到了客户反馈,其网络服务器遭受勒索软件进攻,所有文件数据都被数据加密,数据加密尾缀被取名为“.tater”。 进攻是一种新式的勒索软件。除了免去一些系统文件夹名称之外,它还数据加密其他文件目录的所有尾缀文件而不数据加密。该病毒感染还增加了一个用于掩藏的VB程序shell。由于加密技术采用RSA + AES方法,因此无法临时破译。
二,侵入分析 文档加密时间为2019/3/26 6: 44左右:
常见故障排除系统日志发现网络服务器已在2019/3/26 6: 37:
21远程登录,登录iP是内网ip地址:
网络黑客登录后,流程优化工具Process Hacker用于结束系统中的防护软件,随后将病毒感染放进tater@mail2tor.Com文件夹名称进行敲诈勒索:
三,深入分析 主编程代码结构如下:
查寻程序自己的资源数据如下:
相应的数据在运行内存中破译如下:
建立子系统进程并按如下方式启用该程序:
建立子系统进程,如下如图:
勒索软件的核心编码被载入到运行内存中以供执行,运行内存DUMP中的rams数据加密的Payload如下: 11.png 通过判断电脑操作系统语言来免除特定区域,包括:乌克兰,哈萨克斯坦,白俄罗斯,俄罗斯,鞑靼:
删掉硬盘黑影:
结束特定的系统进程:
流程明细如下: Sqlwriter.exe,sqlbrowser.exe,sqlservr.exe,TNSLSNR.EXE,mysqld.exe,MsDtsSrvr.exe,sqlceip.exe,msmdsrv.exe,mpdwsvc.exe,fdlauncher.exe,Launchpad.exe,chrome.exe,oracle。 Exe,devenv.exe,PerfWatson2.exe,ServiceHub服务器连接点x86.exe,Node.exe,Microsoft VisualStudio web Host.exe,Lightshot.exe,netbeans64.exe,spnsrvnt.exe,sntlsrtsrvr.exe,w3wp.exe, TeamViewer_Service.exe,TeamViewer.exe,SecomSDK.exe,schedule2.exe,schedhlp.exe,adm_tray.exe,EXCEL.EXE,MSACCESS.EXE,OUTLOOK.EXE,POWERPNT.EXE,AnyDesk.exe,Microsoft SqlServer IntegrationServices MasterServiceHost.exe ,Microsoft SqlServer IntegrationServices WorkerAgentServiceHost.exe。 破译程序1中的RSA公钥:
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!