Cryzip勒索型特洛伊程序简单分析
英文作者:Threat Intelligence Group
文章翻译:EvilOctal[E.S.T]
信息泉源:险恶八进制信息宁静团队(www.eviloctal.com)
由于自己程度题目 文章翻译的十分一样平常 错漏一定 主要是为了学习英语而用 大家见笑了
英文版发布日期
2006年3月11日
摘要
2005年5月,Websense Security实验市发现了一个被命名为PGPcoder的特洛伊木马程序。这个木马程序企图加密用户的文件,然后向受害者打单解密费用。固然这个伎俩看起来很奇怪,究竟上早在15年以前,也便是1989年就有一个雷同的变乱。包罗打单类软件在内,LURHQ[1]的Threat Intelligence Group到目前为止曾经发现了第3起雷同变乱,并把该软件命名为Cryzip。
和利用普通加密伎俩的PGPcoder不同(LURHQ曾将PGPcoder经过逆向工程阐发),Cryzip利用的则是商业紧缩库,目的是将文件存储在一个暗码掩护形式下的zip紧缩包中。
固然zip加密比较壮大,但是暴力破解仍旧是大概的,尤其对紧缩包内含有一份原文件副本的zip。
文件细节
QUOTE:
文件名:vcmauth.dll
文件巨细:1,191,936 字节
MD5校检:86a48836bced8c4a0b59fca972800890
SHA1校检:0b3a49b3172fc65db607fcb1b8029820ec11c5b6[2]
壳:无
编译器:Visual C++ 6.0
编译日期:Thu Mar 2 18:11:02 2006
CME号:无
验证字符串:
zippo.dll
ZippoCrypt
_zippo_crypter_v1.0_
阐发
运行后,Cryzip会搜寻C盘(system或system32目录下的文件除外),以便寻找它要紧缩的文件。用内容“Erased by Zippo! GO OUT!!!”笼罩这些文件,然后将它们删除,仅仅在原目录下留下一个名为“原文件名_CRYPT_.ZIP”的紧缩包,“原文件名”便是被它紧缩后删除的文件名,连同扩展名一起。
Cryzip会寻找并加密如下扩展名的文件:
QUOTE:
.arh .asm .arj .bas .cdr .cgi .chm .cpp .db1 .db2
.dbf .dbt .dbx .doc .dpr .dsw .frm .frt .frx .gtd
.gzip .jpg .key .kwm .lst .man .mdb .mmf .old .p12
.pas .pak .pdf .pgp .pwl .pwm .rar .rtf .safe .tar
.txt .xls .xml .zip
当完成一个目录的搜寻和破坏之后,Cryzip会在该目录下留下一个名为AUTO_ZIP_REPORT的TXT文件,其中包含如下的内容:
QUOTE:
OUR E-GOLD ACCOUNT: XXXXXXX
INSTRUCTIONS HOW TO GET YUOR FILES BACK
READ CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN.
This is automated report generated by auto archiving software.
Your computer catched our software while browsing illigal porn
pages, all your documents, text files, databases was archived
with long enought password.
You can not guess the password for your archived files - password
lenght is more then 10 symbols that makes all password recovery
programs fail to bruteforce it (guess password by trying all
possible combinations).
Do not try to search for a program what encrypted your information - it
is simply do not exists in your hard disk anymore.
If you really care about documents and information in encrypted files
you can pay using electonic currency $300.
Reporting to police about a case will not help you, they do not know
password. Reporting somewhere about our e-gold account will not help
you to restore files. This is your only way to get yours files back.
上文大意是:
哥几个的E-Gold银行帐号是:XXXXXXXXXXXX
关于怎样取回您被加密的文件
认真阅读。如果你丫没看明确就再TMD看一遍
这些主动生成的文件是由主动存档软件完成的。
你在看合法色情站点的时候盘算机感染了老子写的病毒,你硬盘上所有的文档、文本文件另无数据库资源啥玩意儿的都TMD让我用足够宁静的暗码给你生存上了。
你甭想猜出来这些加密文件的暗码,暗码长度在10字符以上,足够让世面上所有的暗码暴力破解(便是硬猜)软件都对它没辙。
别的,你也不消搜刮什么相关的加密程序了程序了,它只在你的盘算机上存在,为你特别定做的。
如果这些被俺加密了的文档呀信息呀啥的,那就付出300美金。
报警是没有用滴,他们根本不知道暗码。把老子的E-Gold银行帐号颁布了也不能帮你找回文件。付钱是找回你宝物材料的唯一的要领。爱给不给,操!
(部门不重要的笔墨就不翻译了)
在AUTO_ZIP_REPORT.TXT文件的最顶端,E-Gold帐号的数字是随机拔出的。这个数字是从其内嵌的DLL文件中随即挑选的。经过同时开很多帐号,木马的制作者才气包管其中某一E-Gold帐号被封闭,他仍旧能够从其他的帐号中拿到钱,所有的帐号如下:
QUOTE:
2934363 2917501 2917505 2917510 2934369 2934376 2934380 2934382 2934383 2934389
2934392 2934394 2934396 2934404 2934409 2934419 2934421 2934425 2934427 2897227
2934430 2897191 2897193 2934435 2897209 2897212 2934441 2897232 2934446 2934448
2897243 2897258 2934452 2897021 2917497 2934354 2934356 2917500 2897263 2934455
2934459 2934466 2934469 2934477 2934491 2934501 2934506 2934510 2934515 2934474
2934782 2934788 2934799 2934806 2934814 2934816 2934820 2934825 2934829 2934832
2934837 2934841 2934849 2934853 2934860 2934862 2934866 2934872 2934869 2934885
2934880 2934891 2934895 2934898 2934903 2934925 2934929 2934938 2934948 2934953
2934956 2934964 2934480 2934487 2934775 2934802 2934811 2934864 2935277 2935274
2935268 2935264 2935260 2935252 2935244 2935235 2935232 2935229 2935223
AUTO_ZIP_REPORT.TXT的内容是经过简略的异或(0x13)加密[3]后生存在Cryzip的DLL文件里的。用来加密zip文件的暗码也是嵌入生存在DLL文件中的,但是它并没有被加密,木马程序的作者是想经过视觉手段来迷惑找暗码的人。暗码是这个:
QUOTE:
C:\Program Files\Microsoft Visual Studio\VC98
因为这个字符串每每出如今经过Visual C++ 6编译的项目中,以是作者利用这种类似的字符串来做暗码,企图让那些发现了这个程序的DLL文件并经过逆向工程寻找暗码的人忽略这个字符串。
结论
到目前为止我们还无法确定有多罕用户被感染。感染陈诉的数目并不多,以是我们基本可以确定它不是为了大规模流传了制作的。如果经过低调的伎俩流传,雷同如许敲诈的究竟上是比较成功的。同时反病毒软件制作商彷佛还没有专门为查抄这类软件而更新,而这些用于敲诈和匿名转帐的帐户彷佛在渐渐封闭。
云云,大多数用户很大概不必要为这种打单担忧。但是大家应该关注到,过去的10个月产生的这两发难件,很大概仅仅是一种无害软件趋向的开始,今后产生的变乱将影响更多的用户。但是,在大多数情况下,大批的放置和简略的进行一下备份,可以很大程度的避免和减轻打单软件形成的丧失。
免责条款
本文提供的信息可以不经过关照就进行拷贝和删减,但不得将该文章用做商业用处并且不得删除作者和翻译者的标识,终极表明权归翻译者所有。我们不对阅读本文章后形成的任何破坏或者是由本文章引起的其他纠纷负责。谢谢险恶八进制信息宁静团队成员为本文章友情提供中文翻译[4]。
反应
更新和解释请访问:
LURHQ公司[1]
或者来信讨取:advisories@lurhq.com
险恶八进制信息宁静团队翻译后附加解释:
[1]Security Consulting and Managed Security Services公司 http://www.lurhq.com/
[2]sha1和md5文件校检东西 http://www.eviloctal.com/forum/read.php?tid=20847
[3]盘算机宁静与牢靠性实验之加密与解密 http://www.eviloctal.com/forum/read.php?tid=10129
[4]Cryzip Ransomware Trojan Analysis http://www.lurhq.com/cryzip.html
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
