【病毒分析】假勒索真愤青:永久摧毁文件的israbye病毒分析

http://p4.qhimg.com/t0124775652df9a0c70.png

简介

近期,360安全中心发现国内流入一款名为israbye的“伪勒索病毒”。与普通勒索病毒完全不同的是,israbye会彻底摧毁文件,即使付钱也无法恢复。而且,病毒想要的也根本不是钱。


一探究竟

该病毒在受害电脑展示的信息称可保证免费恢复文件,但前提是——“等他们收复巴勒斯坦,收复艾克萨……”此病毒的传播目的似乎是为了传递某种主张。上述信息除了英文版本外,还罕见地对应了一段希伯来语,再结合“END OF ISRAEL(以色列的终结)”的标题,并不是以钱财为目的的勒索病毒。

值得注意的是,被israbye病毒破坏的文件也不存在恢复的可能性。它会把文件内容将统一替换成“Fuck-israel, *** You Will never Recover your Files Until Israel disepeare”(其中星号为病毒从中毒机器中获取的用户名),而文件后缀则被更改为.israbye。这种方式下“加密”的文件,终究是等不到恢复的那一天的。

此病毒使用VS2012编写,从病毒程序中记录的pdb信息来看,病毒作者的用户名为Ahmed:

 http://p3.qhimg.com/t01cc7d9d7a56971f1f.png

执行后,病毒首先会获取系统的启动目录和临时目录,并将自身复制到临时目录下命名为ClickMe.exe,之后向启动目录下释放cry.execur.exelock.exeindex.exe四个程序:

 http://p0.qhimg.com/t014c5cd0a84a5faca0.png

释放完成后,先加密当前用户目录,之后再遍历磁盘电脑所有盘符,循环加密所有文件(循环从1开始,即跳过C盘不加密):

 http://p0.qhimg.com/t01c4fe6048904434db.png

最后就是启动刚刚释放的四个程序并删除自身:

 http://p2.qhimg.com/t016f162205a062abf5.png

病毒释放的四个衍生程序也是各司其职,工作比较单一。

衍生物cry.exe负责调用修改壁纸:

 http://p0.qhimg.com/t01b4409aafde1299d3.png

 http://p5.qhimg.com/t010b31e376354ed5e1.png

衍生物cur.exe负责在鼠标指针后添加一个“END OF ISRAEL”的小尾巴

 http://p6.qhimg.com/t0126165cd6715d2dd8.png

http://p3.qhimg.com/t01020a61607039f1ac.png

衍生物index.exe负责弹出信息说明窗口,并释放并播放一段bgm

 http://p6.qhimg.com/t0133722a5dc3dff619.png

 http://p5.qhimg.com/t01681b8cea7d0e595d.png

衍生物lock.exe则负责“解决掉”一些分析人员的常用工具,同时启动上面的index.exe和病毒主程序“ClickMe.exe”

 http://p5.qhimg.com/t0193d6cdbf4a12f526.png

 http://p1.qhimg.com/t016f3191da31c65772.png

真相大白

最后,我们回到病毒母体的加密函数部分,这也就是我们称其为“伪勒索病毒”的关键点——病毒实际上根本就没有“加密”你的文件,仅仅是将文件内容替换为“Fuck-israel, *** You Will never Recover your Files Until Israel disepeare”而已。

 http://p2.qhimg.com/t01923909d2da4d9f80.png

由此可见,虽然病毒声称要等到以色列毁灭(Israel disepeare)的那一天才能恢复你的文件,但很显然以这样的方式来“加密”文件,是无论等到哪一天都无法恢复的。

据360安全卫士监控的数据,israbye病毒在国内传播量很小,但如果不慎中招就会遭遇数据永久损坏的严重后果。360安全卫士已第一时间拦截查杀此病毒,建议用户保持安全软件开启,就能够避免中招。

https://p0.ssl.qhimg.com/t0154faefb3e471ff4f.png

(完)