新型勒索病毒RoBaj分析

 

0x01   概述

近日360安全大脑监测到一款新型勒索病毒RoBaj。该病毒使用C#编写,通过暴力破解远程桌面登录口令的方式入侵系统并手动投毒。但较为不同的是,该病毒不仅提供了中文勒索信息,其自身还被蠕虫感染,具有蠕虫功能。这也让是受害者面临的威胁与损失加倍扩大。360高级威胁

研究分析中心目前已完成对该病毒的破解,有中招的用户,可以联系我们进行解密。

 

0x02   攻击过程:

该病毒使用典型的勒索攻击方式,攻击者在拿下目标后会首先投放横移工具,如Netpass64.exe、windows密码破解器等,并创建后门账户以备后用:

之后开始进一步横向渗透,扩大攻击范围。当拿到核心设备或已掌握大量设备后,攻击者最终会投递勒索病毒RoBaj-S.exe实施破坏工作。

文件释放当病毒RoBaj-S.exe被触发执行后,首先会释放使用的资源文件:

其中,“Description Unlock Files.exe”为锁屏与勒索提示程序。而“Description Unlock Files.txt”则是勒索提示文档,与之对应的“说明 解锁文件(英文).txt”虽然标题中有“英文”,但其实是中文版的勒索信息文档。

通过对比中英文两个版本的勒索信息会发现,中文版的勒索信息显得颇为“生硬”,不自然,更像是直接从英文版勒索信息“机翻”而来。

代码分析

准备工作释放必要的文件后,程序会启动之前释放在Public Docker目录下的system32.exe加密程序。system32.exe启动后会等待接收启动参数,只有
输入正确参数后,后才会继续执行功能。该设定通常是为了绕过一些分析沙箱的自动检测。

之后,病毒会执行Files目录下的off-task.exe程序。该程序会临时创建一个bat批处理脚本并执行。被执行的批处理脚本的主要功能是通过修改注册表来禁用taskmgr、perfmon调试器选项、UAC以及系统自带杀毒软件等一系列系统的安全管理及防护功能。此外,批处理脚本还会将自 身添加为开机启动项,以此来保证下次开机能继续运行。

完成上述操作后病毒会继续遍历进程,尝试杀掉除勒索信息、系统桌面及命令行宿主进程外的一切进程,这样做的主要目的是尽最大可能排除其他进程干扰,使自身可以尽可能多的加密文件。

执行加密此时,病毒开始执行最关键的加密环节。该勒索病毒使用的文件加密密钥是通过随机数方式产生。但病毒会把这个生成的密钥与磁盘当前的使用情况等信息一同写入文件“ent.txt”中,然后使用AES加密生成的密钥(该加密过程使用内置固定密钥),再经Base64编码后写入到“ent.ent”文件中,这个文件后续未被清除,这也给了我们对该病毒进行破解解密的机会。

接下来,程序开始遍历磁盘上的目录与文件进行加密,但会排除一些特殊目录与文件扩展名。

其中,被排除掉的目录主要是重要的系统及程序目录:

– C:\Program Files

– C:\Program Files (x86)

– C:\Windows

– C:\ProgramData

– C:\Users\All Users

而被排除的文件扩展名则是典型的可执行程序扩展名,显然病毒并不希望破坏系统内程序的执行,以免过早的引起受害者的警觉:

– exe

– dll

接着,病毒会根据文件大小的不同选择不同模式的AES算法对文件进行加密:对于小于10000KB的文件病毒会选用CBC加密模式;而大于10000KB的文件则采用CFB加密模式

加密完成后,文件名添加扩展名“.Robaj”。此外,病毒还修改了桌面壁纸和Robaj的文件图标关联来更醒目的提示受害者其设备已遭到攻击:

中勒索送蠕虫,“买一赠一”值得注意的是,我们还发现该勒索病毒开发者的环境似乎被Neshta蠕虫感染。病毒释放的所有可执行程序均感染有Neshta蠕虫。所以也提醒中招用户,一旦发现被RoBaj攻击后,除了需对勒索病毒展开排查和清理外,还需检查可执行文件是否同时被Neshta蠕虫所感染。

安全建议作为数字经济的守护者,360政企安全集团立足党政军企网络安全刚需,在360安全大脑的极智赋能下,面向政企用户推出360终端安全产品体 系。其中360终端安全管理系统是以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全 产品。360终端安全管理系统可对此类病毒威胁做出有效处理。最后,面对此类勒索病毒威胁,360安全大脑给出如下安全建议:
1、对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解,抵御木马病毒攻击;
2、对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
3、安装并确保开启安全软件,保证其对本机的安全防护;

如果有遇到此方面困难的用户,也可以前往https://360.net/或通过400-0309-360联系360安全专家,获取帮助。

 

0x03   时间线

2022-08-22 360高级威胁研究分析中心发布通告

(完)