敲詐者Virlock病毒完整技術(shù)分析軟件

敲詐者Virlock病毒完整技術(shù)分析是針對最近傳入我國的新的病毒敲詐者Virlock采取的一種解決方案，敲詐者Virlock病毒破壞性強，傳播快，這套技術(shù)分析已經(jīng)得到實際認可，有需要的朋友可以下載體驗。

最新消息：

近日，360QVM發(fā)現(xiàn)一款名為VirLock的“敲詐者”病毒開始在國內(nèi)出現(xiàn)，此病毒與剛傳入中國的CTB-Locker“敲詐者”病毒如出一轍，均通過強鎖電腦里的文檔、圖片等重要資料，借機敲詐用戶贖金0.71比特幣（約1000元人民幣）。VirLock敲詐者病毒最早在國外流行，比CTB-Locker“敲詐者”病毒感染的文件類型更多，包括了常見的MP3和MPG等影音文件，這意味著受影響的用戶范圍會更大，傳播也會更廣。目前，360是全球唯一可以成功修復(fù)還原VirLock感染文件的安全軟件。

360QVM團隊第一時間對VirLock“敲詐者”病毒進行了技術(shù)分析：

近期360安全中心檢測到大量文件被一種叫做VirLock的敲詐病毒感染病毒會全盤遍歷硬盤中的可執(zhí)行文件及文檔、圖片等文件，并將其加密，鎖住用戶的windows帳號，并彈框威脅用戶付費解密文件。

此為360安全中心首次截獲具有感染能力的敲詐病毒，傳播能力較強，具有多態(tài)變形能力，危害極大，請用戶提高警惕。

目前使用360全線產(chǎn)品可以完美修復(fù)系統(tǒng)中被感染的文件。

樣本信息：

1.360云安全中心已捕獲Virlock相關(guān)樣本近8萬個；
2.國外最早發(fā)現(xiàn)此病毒的為ESET（2014年12月）。目前，360是全球唯一可成功修復(fù)Virlock變種感染文件的安全軟件。

病毒描述：

攻擊行為一：感染用戶數(shù)據(jù)文件及可執(zhí)行文件

感染文件類型，包括但不限于：

被感染的文件與原文件圖標一致，但是被感染文件是一個可執(zhí)行病毒文件，結(jié)構(gòu)大致如下：

病毒會遍歷所有的磁盤，網(wǎng)絡(luò)共享路徑。加密感染之后，病毒會記錄一個文件列表在%userprofile%\????.txt中（?為隨機字母）如下圖所示。

攻擊行為二：加密用戶登陸密碼

加密當(dāng)前用戶賬戶，并創(chuàng)建一個新的賬戶：

用戶重新登錄時，進入的桌面環(huán)境為全新的用戶環(huán)境，包括我的文檔，桌面等文件路徑均與之前的環(huán)境不同。

如圖：用戶感染此病毒之后，登錄界面會多出一個用戶（用戶名隨機），且都需要密碼才可以進入。

 

攻擊行為三：關(guān)閉系統(tǒng)安全功能

禁用UAC，使用戶賬戶控制功能失效。

攻擊行為四：實現(xiàn)自啟動

實現(xiàn)自啟動項：

會釋放文件到%userprofile%中，創(chuàng)建隨機文件夾，文件夾設(shè)為隱藏屬性，以及隨機文件名。

釋放文件：

寫入垃圾數(shù)據(jù)，長度0×200字節(jié)（以對抗殺軟檢測）：

使用NTFS系統(tǒng)的權(quán)限特性，對文件夾進行鎖定，用戶無法打開，刪除文件夾。

（注：XP Professional中，需要在文件夾選項中關(guān)閉“簡單文件共享”，才可以看到安全選項卡，XP Home版無此功能。）

攻擊行為五：隱藏病毒體文件

病毒會修改注冊表，以隱藏文件擴展名及相關(guān)文件：

攻擊行為六：彈出勒索提示

病毒全盤感染完畢之后，會彈出勒索提示框進行警告，病毒會勒索0.71 BTC(約合人民幣1000元)。

如下圖所示：

安全建議：

1.不要隨意點擊或運行未經(jīng)過確認對方身份的郵件附件。特別注意的是.scr .exe 等可執(zhí)行文件。
2.更新電腦中的安全軟件，目前360系統(tǒng)急救箱可以檢測并修復(fù)被感染文件，隨后360全線安全產(chǎn)品將支持被感染文件修復(fù)。
3.選擇單獨硬盤對電腦中重要的數(shù)據(jù)資料進行日常備份，防止數(shù)據(jù)被加密等意外狀況。

VirLock技術(shù)細節(jié)：
1.恢復(fù)原始文件：

由于病毒將原始數(shù)據(jù)包含在自身之中， 所以病毒首先需要將原始數(shù)據(jù)解密，然后執(zhí)行之，然后運行，文件恢復(fù)的流程如下：

解密方式較為復(fù)雜，有三層解密。

第一層解密：

主要是為了解密第二層，解密算法為循環(huán)左移操作：

第二層解密：

其目的是為了解密第三層的解密代碼，解密算法為異或操作。

第三層解密：

解密原始文件名，原始數(shù)據(jù)等關(guān)鍵數(shù)據(jù)。解密方式為異或與循環(huán)右移相結(jié)合。

如圖：解密出來的原始文件名為2009 &10 015.jpg：

解密出來的原始數(shù)據(jù)：

2.代碼對抗

(1)對抗虛擬機

病毒采用多態(tài)變形技術(shù)，從入口開始隨機調(diào)用API，和虛擬機進行對抗，增加分析難度。

(2)對抗靜態(tài)分析

病毒在解密之后，采用了大量成對的”XCHG EAX,EBX”，使代碼易讀性降低，增加分析難度：

(3)對抗動態(tài)分析

在運行的過程中，采用了大量的rdtsc進行時間判斷，用于檢測是否處于調(diào)試狀態(tài)，如果調(diào)試則執(zhí)行不同分支，增加調(diào)試復(fù)雜度。

(4)對抗手動清除

病毒會創(chuàng)建多個進程，且互相看護，如果其中任何一個進程結(jié)束，則會重新創(chuàng)建一個新的實例，死而復(fù)生，永無休止。

如圖：框中的三個進程互為守護進程。