CHAOS勒索病毒分析
2022-5-27 14:40:34 Author: www.freebuf.com(查看原文) 阅读量:20 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一、概述

近期,兰云科技银河实验室发现当前活跃的CHAOS勒索病毒样本,兰眼下一代威胁检测系统对该文件的告警信息如下:

image

Chaos 是 2021 年开发的一种新的勒索软件, Chaos是一种仍在开发中的勒索软件,在地下黑客论坛上提供,在地下黑客论坛上提供,在那里它被宣传为Ryuk的新版本, FBI 曾将其描述为历史上最赚钱的勒索软件。

二、分析

2.1 基本信息



文件名18bab784f9c9a2e4f743ff2f3e03595b
文件类型PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
文件大小23KB
MD543c63bf03cff27a4696d80b290eddd19
SHA14244bf2e1f563cc4bd3d44eebc0fcf9fe5021c6c
编译器.NET4.0
编译时间2022-05-02 04:13:03
所属家族CHAOS Ransomware

2.2 程序流程图

image

2.3 关键行为分析

2.3.1 假冒系统文件 svchost.exe

该样本将自身复制到C:\Users\AppData\Roaming路径下,并改名为 svchost.exe

image

2.3.2 持久性

样本通过在系统启动目录Startup下添加快捷方式,实现自启动,如下图所示:

image

样本在执行完加密之后,会在所有盘符下复制自身,并命名为 surprise.exe。

image

2.3.3 文件加密

遍历系统下的盘符,C盘下仅加密用户的文件。

image

加密的文件类型存储在validExtensions中。

image

对于文件大小小于2117152L的,使用AES-RSA加密数据。

image

对于文件大小大于2117152L的,对文件写入随机数据,使原文件内容丢失而不可恢复。

image

image

2.3.4 关闭系统功能

  1. 删除windows卷影副本,防止受害主机通过恢复卷影的方式恢复被加密的文件。
    image

  2. 禁用windows故障修复。
    image

  3. 删除Windows备份目录。
    image

2.3.5 勒索

样本在运行的位置释放一个名称为read_it.txt的文件并写入messages的数据,然后延时0.5秒启动,弹出勒索信息。

image

勒索信息如下:

image

样本在最后会调用SystemParametersInfo函数设置桌面壁纸。

image

三、处置建议

  1. 删除每个盘符下的surprise.exe文件。

  2. 删除%APPDATA%文件夹下的svchost.exe文件

  3. 删除系统启动文件夹下的快捷方式

  4. 打开命令提示符输入“cdedit /set recoveryenabled YES”开启故障修复

四、总结

此病毒对文件的破坏非常严重,采用了对称加密算法(AES)和非对称加密算法(RSA),并且对大文件进行了不可逆的破坏,即使支付了赎金也不可恢复。

建议用户提前部署强大的防御设备,时刻警惕钓鱼网站以及陌生人发出的软件,数据一旦被加密,就算是专业的人员分析与调查也不是完全保证能够恢复,受到的损失以及亏损是难以估算的。


文章来源: https://www.freebuf.com/articles/paper/334499.html
如有侵权请联系:admin#unsafe.sh