38期報告匯總
安天發(fā)布《修改MBR的敲詐者木馬來襲》報告
近期,敲詐勒索病毒的傳播呈現(xiàn)出上升趨勢,隨著勒索得逞的案例越來越多,很多造馬者開始使用不同的方法制作該類病毒。2016年3月底,幾家國外安全廠商先后發(fā)布了“修改MBR、加密整個硬盤的勒索軟件Petya”的報告,值得關注的是,近期國內也出現(xiàn)了一款通過修改MBR來實現(xiàn)勒索的病毒軟件,安天追影小組查詢相關論壇后發(fā)現(xiàn),該病毒的作者目前并沒有進行敲詐,而且主動公開了密碼,可能只是為了炫耀技術。以下為追影小組具體分析。
行為分析
該病毒運行后后,屏幕如下圖所示,文字不停的閃爍并伴有動畫效果與音樂,重啟后顯示文字“mimalianxiqq
268****!!”提示輸入密碼。用戶只有輸入正確的密碼,才可以正常啟動系統(tǒng)。
樣本行為如下:
1、運行后直接獲取\\.\PhysicalDrive0的句柄,從第1扇區(qū)(偏移為0x0)讀取大小為200字節(jié)的內容寫入到第3扇區(qū)(偏移為0x400)中。其目的應該在輸入正確密碼后,重新恢復原有第1扇區(qū)的信息。
2、在第1扇區(qū)(偏移為0x0)中寫入大小為200字節(jié)的MBR敲詐信息(即重啟后的開機界面,需要輸入正確的密碼才能恢復第1扇區(qū))。
3、在創(chuàng)建輸入密碼界面的時候,則會不停的遍歷進程比對來實現(xiàn)結束掉任務管理器進程taskmgr.exe,主要是為了守護樣本進程,防止其被任務管理器結束掉。
總結
近期國內出現(xiàn)的勒索軟件很多都以中文為提示語言,QQ為聯(lián)系方式,以此可以推測,一些勒索軟件是國內的造馬者制作或修改他人代碼形成的。安天追影小組提醒廣大用戶加強安全意識,通過官方網站下載正版軟件,不要隨意打開陌生鏈接運行不明的應用程序,同時,安天也會持續(xù)關注追蹤勒索軟件的發(fā)展態(tài)勢。