揭秘最新勒索之王BlackMatter的真实面孔

清空回收站文件

通过COM接口查询命令“SELECT* FROM Win32_ShadowCopy Win32_ShadowCopy” 搜索卷影副本文件并删除以防止恢复。

WQL查询语句

查找并关闭以下服务：mepocs、memtas、veam、svc$、backup、sql、vss、msexchange。

枚举与删除服务

查找并关闭以下进程：encsvc、thebat、mydesktopqos、xfssvccon、firefox、infopath、winword、steam、synctime、notepad、ocomm、onenote、mspub、thunderbird、agntsvc、sql、excel、powerpnt、outlook、wordpad、dbeng50、isqlplussvc、sqbcoreservice、oracle、ocautoupds、dbsnmp、msaccess、tbirdconfig、ocssd、mydesktopservice、visio。

结束进程

检查本地组和成员身份。

检查成员身份

获取MailBox目录并加密。

MailBox目录

调整进程I/O优先级，然后使用I/O口快速加密磁盘文件。

优先级调整

创建I/O端口进行快速加密。

创建I/O

通过环境变量获取ExchangeInstallPath，并加密Exchange目录文件。

加密Exchange目录

主加密逻辑如下：

在目录下释放勒索信。

释放勒索信

2.遍历目录，加密文件。

文件遍历

3.如果待加密文件被其他进程占用，则关闭进程并继续加密。

确保完成文件加密

4.读取文件最后132个字节,并使用后面的128字节计算4字节ID，如果4字节ID与前4字节相同，则表示文件已加密，无需进行任何操作。

5.如果文件大于1M，只对前1M加密，当文件小于1M则全部加密。

文件大小判断

6.生成8字节随机数，共15次，再加上RSA硬编码公钥的前4个字节和4个字节的零拼接128字节blob，前64字节作为salsa20密钥流。

使用内置的RSA公钥加密salsa20密钥流，该密钥流被加密并存储在加密文件的最后128个字节中。

分析时发现，该病毒只生成一次随机密钥加密所有文件，因此存在可能从病毒进程中dump出salsa20密钥流。

文件加密线程

扫描计算机卷名，并将它们转换为磁盘路径，以便将卷与其他卷相关联(挂载文件)。

恶意DLL收集终端信息

枚举域控以及LDAP远程访问，似乎具有横向传播能力。

枚举域控

通过HTTP与C2进行交互，发送AES加密后的本机信息。

网络操作

以POST方式发送加密信息到C2服务器。

网络请求

病毒判断当前启动模式如果处于安全模式，则添加注册表项实现开机自启动，禁用安全模式，并重启计算机，bcdedit /deletevalue {current} safeboot。

判断启动模式

绘制桌面背景。

绘制背景

如果存在打印机，会通过打印机打印勒索信内容。

调用打印机

我们对比DarkSide进行分析，发现该算法与BlackMatter加密算法高度一致。我们怀疑BlackMatter团伙由DarkSide团伙部分成员组建。

加密对比