网页代码对比(左为修改后,右为修改前)
被插入恶意代码的网页加载时,JavaScript脚本会将所有“>”与“
网页乱码
其相关代码,如下图所示:
制造乱码的JavaScript脚本
其插入的恶意代码中包含一个仿冒的弹窗,该弹窗最初是不可见的。如下图所示:
仿冒Chrome界面的隐藏的弹窗
当页面运行到下图所示脚本时会延时一秒钟后JavaScript脚本会将弹窗的display属性置为可见。如下图所示:
延时弹出仿冒弹窗
仿冒的窗口弹出
当用户点击“Update”按钮之后则会开始下载名为“Chrome_Font.exe”的勒索病毒,并弹出提示诱导用户运行该病毒。如下图所示:
诱导用户执行病毒
病毒作者伪造的Chrome组件升级窗口
如果用户点击“Update”按钮,就会下载名为“Chrome_Font.exe”的勒索病毒程序,在病毒被下载的同时还会弹出。如下图所示:
恶意代码弹出的提示窗口
三、Payload分析
页面传播的病毒为勒索病毒Ransom/Spora,该病毒近期在互联网中的传播速度呈上升趋势。由于用于加密关键数据的RSA公钥是病毒作者生成的,所以如果中毒用户想要恢复被加密的数据文件,就只能通过缴纳赎金的方式,获取到对应的RSA私钥进行解密。而且病毒不但会加密用户的本地文件,还会遍历局域网加密的文件格式,如下图所示:
加密的扩展名列表
该病毒初次运行会在%APPDATA%目录下释放名为系统所在盘符卷序号的文件,下文中为勒索数据文件。如下图所示:
释放文件
病毒加密文件过程中会在该文件中记录下相关数据,如当前勒索流程所处步骤、被加密的所有文件路径、加密中所生成的RSA公钥和加密后产生的ID,文件中所存放的数据都通过CryptProtectData函数进行过加密,并且以数据块形式进行存储。如下图所示:
数据文件结构
存放上述数据所涉到的相关代码,如下图所示:
根据数据块偏移写入数据
该文件的第一个数据块中记录着当前所要执行的勒索步骤,如果病毒在勒索过程中意外退出,重新启动会继续执行器剩余流程。其流程共分为五个步骤:
1.导入存放在PE镜像中的RSA公钥(下文中称MasterRSA公钥),之后遍历本地目录和网络共享,将需要加密的文件路径加密后存在在勒索数据文件中,如果没有可以加密的文件则会在本地各盘符和网络共享中创建指向勒索病毒的快捷方式,进行病毒传播。代码如下图所示:
代码展示
2.重新生成一组RSA密钥(SubRSA密钥),将公钥导出写入到勒索数据文件中。生成勒索描述页面,页面中包含两个数据:
a)生成勒索ID。ID是基于地域信息、加密信息数据整体的部分MD5和加密的各种类型文件数量生成的,将上述信息拼接后,将数字和“|”符号用字母进行替换,最后生出如“CH065-DDZTZ-TZTZT-RZTHY”类似的ID。如下图所示:
发表评论