MedusaLocker勒索家族分析报告

MedusaLocker勒索家族分析报告
2024-12-25 10:18:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、概述

MedusaLocker勒索软件在2019年9月首次出现，并感染加密了世界各地的Windows机器。MedusaLocker使用AES-CBC和RSA-2048组合加密文件，被加密后的文件后缀名为“.ecnrypted18”。同时该家族样本还会在加密受害者文件后在加密目录下创建HOW_TO_RECOVER_DATA.html勒索信，勒索信中提到了攻击者的邮箱[email protected]和[email protected]，并且在勒索信中表示免费解密一个小于10MB的文件来展示解密的可能性。

目前集成了奇安信勒索防护模块天擎产品支持对MedusaLocker族的精准查杀，包括静态文件查杀、动态行为查杀。

并且，在对该家族的详细分析之后，奇安信勒索解密还原工具目前集成了对该勒索家族的解密还原。通过在最新的奇安信测试环境中进行验证测试，奇安信勒索解密还原工具目前可以成功还原被该勒索家族加密勒索的文件。

二、样本功能分析

样本启动后会判断是否具有管理员权限，如果没有管理员权限则会尝试提升权限

接着通过修改注册表改变UAC

创建注册表项 HKCU\\SOFTWARE\\Medusa，设置键Name值为当前进程执行文件名

接着会生成AES加密秘钥，并且将秘钥通过内置的RSA公钥加密后拼接上加密后的文件后缀（.encrypted18）RSA加密后的结果生成用户ID。生成的用户ID最终会被写入到勒索信和加密后的文件中，用于攻击者解密时使用。

将用户ID拼接到勒索信中

下一步样本会先拷贝自身到%AppData%\\Roaming目录下，并且重命名为svchostt.exe

并且创建定时任务每隔15分钟执行拷贝后的样本

接着样本会停止以下服务，其中包括数据库相关服务、安全相关服务、虚拟化相关服务等

wrapper、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、sqlservr、sqlagent、sqladhlp、Culserver、RTVscan、sqlbrowser、SQLADHLP、QBI、DPService、Intuit.QuickBooks.FCS、QBCFMonitorService、sqlwriter、msmdsrv、tomcat6、zhudongfangyu、SQLADHLP、vmware-usba、rbitator64、vmware-converter、dbsrv12、dbeng8

并且尝试结束以下进程，其中包括数据库相关进程、安全相关进程等

wxServer.exe、wxServerView、sqlservr.exe、sqlmangr.exe、RAgui.exe、supervise.exe、Culture.exe、RTVscan.exe、Defwatch.exe、sqlbrowser.exe、winword.exe、QBW32.exe、QBDBMgr.exe、qbupdate.exe、QBCFMonitorService.exe、axlbridge.exe、QBIDPService.exe、httpd.exe、fdlauncher.exe、MsDtSrvr.exe、tomcat6.exe、java.exe、360se.exe、360doctor.exe、wdswfsafe.exe、fdlauncher.exe、fdhost.exe、GDscan.exe、ZhuDongFangYu.exe

还会执行以下命令，关闭系统恢复和启动错误处理功能，同时清理系统备份和卷影副本数据

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

wbadmin DELETE SYSTEMSTATEBACKUP

wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

wmic.exe SHADOWCOPY /nointeractive

并且还会清空回收站

修改系统注册表中EnableLinkedConnections的值为1，共享网络驱动

在执行加密文件前，提前配置了不执行加密操作的文件目录，包括以下目录：

带$的文件和文件夹不加密

%ALLUSERSPROFILE%

%USERPROFILE%\\AppData

%ProgramData%

%WINDIR%

%PROGRAMFILES(x86)%

%SYSTEMDRIVE%\\Program Files

%SYSTEMDRIVE%\\AppData

%SYSTEMDRIVE%\\Application Data

%SYSTEMDRIVE%\\intel

%SYSTEMDRIVE%\\nvidia

%SYSTEMDRIVE%\\Users\\All Users

%SYSTEMDRIVE%\\Windows

%SYSTEMDRIVE%\\Program Files\\Microsoft\\Exchange Server

%SYSTEMDRIVE%\\Program Files (x86)\\Microsoft\\Exchange Server

%SYSTEMDRIVE%\\Program Files\\Microsoft SQL Server

%SYSTEMDRIVE%\\Program Files (x86)\\Microsoft SQL Server

三、文件加密

通过分析得知样本不加密勒索信文件和以下后缀名称的文件

.exe

.dll

.sys

.ini

.lnk

.rdp

.encrypted

.encrypted18

并且会对不同类型的文件采用不同的加密方式

过滤类型的文件不加密

以.sql和.mdf后缀结尾的数据库文件，采用全量加密，不管文件大小，加密全部文件数据

其他类型的文件，如果文件大小不大于16MB，则全量加密，否则只加密前16MB大小的数据，其余数据则选择不加密

加密完文件数据后，会在后面添加上述中提到过的ID值，再添加上0x18的数据，其中包括原本文件大小、加密方式等

四、防护建议

奇安信病毒响应中心建议广大政企单位从以下角度提升自身的勒索病毒防范能力：

1.及时修复系统漏洞，做好日常安全运维。

2.采用高强度密码，杜绝弱口令，增加勒索病毒入侵难度。

3.定期备份重要资料，建议使用单独的文件服务器对备份文件进行隔离存储。

4.加强安全配置提高安全基线，例如关闭不必要的文件共享，关闭3389、445、139、135等不用的高危端口等。

5.提高员工安全意识，不要点击来源不明的邮件，不要从不明网站下载软件。

6.选择技术能力强的杀毒软件，以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

目前，基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC（态势感知与安全运营平台）、奇安信监管类态势感知等，都已经支持对此类攻击的精确检测。

特别是奇安信天锁对勒索病毒的静动态检测能力、智能密钥恢复能力、灾备能力，可以专项针对勒索病毒做企业的终端立体化防护。配合天擎EDR，还可支持攻击溯源。经测试验证，目前天锁已支持对此类攻击的立体化防护。

IOC

SHA-1

d6b2ed68ae9e7bd63b2f6b6fc1a08dcf879f5278

0428a2ead08f005f3c90a493e10207322d8a429b

55df3efaece6e04830353c6ba369878546e21203

7885dfa7bac9489d233736b1aaed02c7c3e9b800

832c90b15a930c39faa33f8f77b9b135d9af5ce9

e412bba94a7d8e00d1c291c8b43466144b552d18

d72e8886929edefa58c056e0ba735f7f47043848

3fecc4139328cf70e0fac1304939d76ef802af4a

7063ffa3a13912787b3321bc0da9812526638000

bd688e3c888bc94d3a9dd87cbc1cf7986c0c2207

fc37102087b5255269cea6555d8a8ac60bb1d707

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5Mzg5MDM3NQ==&mid=2247498165&idx=1&sn=f6dc8c3a5c38f74449568691bb6e6165&chksm=ec69899ddb1e008be10cd3ea4695694e54c3f819ce5c97aee780aa50eeb43e41f8ef4684e460&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh