敲詐者Virlock病毒完整技術(shù)分析軟件

敲詐者Virlock病毒完整技術(shù)分析是針對(duì)最近傳入我國(guó)的新的病毒敲詐者Virlock采取的一種解決方案，敲詐者Virlock病毒破壞性強(qiáng)，傳播快，這套技術(shù)分析已經(jīng)得到實(shí)際認(rèn)可，有需要的朋友可以下載體驗(yàn)。

最新消息：

近日，360QVM發(fā)現(xiàn)一款名為VirLock的“敲詐者”病毒開(kāi)始在國(guó)內(nèi)出現(xiàn)，此病毒與剛傳入中國(guó)的CTB-Locker“敲詐者”病毒如出一轍，均通過(guò)強(qiáng)鎖電腦里的文檔、圖片等重要資料，借機(jī)敲詐用戶贖金0.71比特幣（約1000元人民幣）。VirLock敲詐者病毒最早在國(guó)外流行，比CTB-Locker“敲詐者”病毒感染的文件類(lèi)型更多，包括了常見(jiàn)的MP3和MPG等影音文件，這意味著受影響的用戶范圍會(huì)更大，傳播也會(huì)更廣。目前，360是全球唯一可以成功修復(fù)還原VirLock感染文件的安全軟件。

360QVM團(tuán)隊(duì)第一時(shí)間對(duì)VirLock“敲詐者”病毒進(jìn)行了技術(shù)分析：

近期360安全中心檢測(cè)到大量文件被一種叫做VirLock的敲詐病毒感染病毒會(huì)全盤(pán)遍歷硬盤(pán)中的可執(zhí)行文件及文檔、圖片等文件，并將其加密，鎖住用戶的windows帳號(hào)，并彈框威脅用戶付費(fèi)解密文件。

此為360安全中心首次截獲具有感染能力的敲詐病毒，傳播能力較強(qiáng)，具有多態(tài)變形能力，危害極大，請(qǐng)用戶提高警惕。

目前使用360全線產(chǎn)品可以完美修復(fù)系統(tǒng)中被感染的文件。

樣本信息：

1.360云安全中心已捕獲Virlock相關(guān)樣本近8萬(wàn)個(gè)；
2.國(guó)外最早發(fā)現(xiàn)此病毒的為ESET（2014年12月）。目前，360是全球唯一可成功修復(fù)Virlock變種感染文件的安全軟件。

病毒描述：

攻擊行為一：感染用戶數(shù)據(jù)文件及可執(zhí)行文件

感染文件類(lèi)型，包括但不限于：

被感染的文件與原文件圖標(biāo)一致，但是被感染文件是一個(gè)可執(zhí)行病毒文件，結(jié)構(gòu)大致如下：

病毒會(huì)遍歷所有的磁盤(pán)，網(wǎng)絡(luò)共享路徑。加密感染之后，病毒會(huì)記錄一個(gè)文件列表在%userprofile%\????.txt中（?為隨機(jī)字母）如下圖所示。

攻擊行為二：加密用戶登陸密碼

加密當(dāng)前用戶賬戶，并創(chuàng)建一個(gè)新的賬戶：

用戶重新登錄時(shí)，進(jìn)入的桌面環(huán)境為全新的用戶環(huán)境，包括我的文檔，桌面等文件路徑均與之前的環(huán)境不同。

如圖：用戶感染此病毒之后，登錄界面會(huì)多出一個(gè)用戶（用戶名隨機(jī)），且都需要密碼才可以進(jìn)入。

 

攻擊行為三：關(guān)閉系統(tǒng)安全功能

禁用UAC，使用戶賬戶控制功能失效。

攻擊行為四：實(shí)現(xiàn)自啟動(dòng)

實(shí)現(xiàn)自啟動(dòng)項(xiàng)：

會(huì)釋放文件到%userprofile%中，創(chuàng)建隨機(jī)文件夾，文件夾設(shè)為隱藏屬性，以及隨機(jī)文件名。

釋放文件：

寫(xiě)入垃圾數(shù)據(jù)，長(zhǎng)度0×200字節(jié)（以對(duì)抗殺軟檢測(cè)）：

使用NTFS系統(tǒng)的權(quán)限特性，對(duì)文件夾進(jìn)行鎖定，用戶無(wú)法打開(kāi)，刪除文件夾。

（注：XP Professional中，需要在文件夾選項(xiàng)中關(guān)閉“簡(jiǎn)單文件共享”，才可以看到安全選項(xiàng)卡，XP Home版無(wú)此功能。）

攻擊行為五：隱藏病毒體文件

病毒會(huì)修改注冊(cè)表，以隱藏文件擴(kuò)展名及相關(guān)文件：

攻擊行為六：彈出勒索提示

病毒全盤(pán)感染完畢之后，會(huì)彈出勒索提示框進(jìn)行警告，病毒會(huì)勒索0.71 BTC(約合人民幣1000元)。

如下圖所示：

安全建議：

1.不要隨意點(diǎn)擊或運(yùn)行未經(jīng)過(guò)確認(rèn)對(duì)方身份的郵件附件。特別注意的是.scr .exe 等可執(zhí)行文件。
2.更新電腦中的安全軟件，目前360系統(tǒng)急救箱可以檢測(cè)并修復(fù)被感染文件，隨后360全線安全產(chǎn)品將支持被感染文件修復(fù)。
3.選擇單獨(dú)硬盤(pán)對(duì)電腦中重要的數(shù)據(jù)資料進(jìn)行日常備份，防止數(shù)據(jù)被加密等意外狀況。

VirLock技術(shù)細(xì)節(jié)：
1.恢復(fù)原始文件：

由于病毒將原始數(shù)據(jù)包含在自身之中， 所以病毒首先需要將原始數(shù)據(jù)解密，然后執(zhí)行之，然后運(yùn)行，文件恢復(fù)的流程如下：

解密方式較為復(fù)雜，有三層解密。

第一層解密：

主要是為了解密第二層，解密算法為循環(huán)左移操作：

第二層解密：

其目的是為了解密第三層的解密代碼，解密算法為異或操作。

第三層解密：

解密原始文件名，原始數(shù)據(jù)等關(guān)鍵數(shù)據(jù)。解密方式為異或與循環(huán)右移相結(jié)合。

如圖：解密出來(lái)的原始文件名為2009 &10 015.jpg：

解密出來(lái)的原始數(shù)據(jù)：

2.代碼對(duì)抗

(1)對(duì)抗虛擬機(jī)

病毒采用多態(tài)變形技術(shù)，從入口開(kāi)始隨機(jī)調(diào)用API，和虛擬機(jī)進(jìn)行對(duì)抗，增加分析難度。

(2)對(duì)抗靜態(tài)分析

病毒在解密之后，采用了大量成對(duì)的”XCHG EAX,EBX”，使代碼易讀性降低，增加分析難度：

(3)對(duì)抗動(dòng)態(tài)分析

在運(yùn)行的過(guò)程中，采用了大量的rdtsc進(jìn)行時(shí)間判斷，用于檢測(cè)是否處于調(diào)試狀態(tài)，如果調(diào)試則執(zhí)行不同分支，增加調(diào)試復(fù)雜度。

(4)對(duì)抗手動(dòng)清除

病毒會(huì)創(chuàng)建多個(gè)進(jìn)程，且互相看護(hù)，如果其中任何一個(gè)進(jìn)程結(jié)束，則會(huì)重新創(chuàng)建一個(gè)新的實(shí)例，死而復(fù)生，永無(wú)休止。

如圖：框中的三個(gè)進(jìn)程互為守護(hù)進(jìn)程。