独家技术分析 | 新型勒索病毒Mindlost-阿里云开发者社区

开发者社区> 云安全专家> 正文

独家技术分析 | 新型勒索病毒Mindlost

简介: 1月15日安全研究组织MalwareHunter发现了Mindlost勒索软件的第一批样本。 阿里云安全团队第一时间对该勒索软件进行了技术分析。通过此分析报告希望给业界研究者提供参考依据并为可能受到影响的企业与机构提供安全建议。
+关注继续查看

1月15日,安全研究组织MalwareHunter发现了Mindlost勒索软件的第一批样本。

阿里云安全团队第一时间对该勒索软件进行了技术分析。通过此分析报告,希望给业界研究者提供参考依据,并为可能受到影响的企业与机构,提供安全建议。

一、 概述

阿里云安全团队分析后发现,该病毒运行后会隐藏自己,然后后台加密采用随机秘钥的128位的aes算法,加密样本账户的电脑的Users目录下的文件,如果后缀为".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"的文件就直接加密,且解密赎金达到200美元。其加密完成后显示的提示图片如下:


dbb818d98abd7e1495ea8ede81be262beb49fa46

被加密的企业和个人,需要通过在线网站使用信用卡的方式支付赎金。

根据目前披露的信息,该勒索软件并未大量主动分发,严重性不及WannaCry 和 Petya。阿里云安全团队推测,这是一个正在开发中的勒索软件。

但从样本的变化看,后续可能会有新的版本和变种出现;我们会持续关注,针对勒索软件的防护和处理建议。

二、技术分析

1. Mindlost勒索病毒的执行流程如下:

8dbe86127904dd367d17cf011d540f6d7a9edbb0

2. 技术实现细节:

Mindlost勒索病毒的是一个由C#语言编写的程序,且该病毒作者还采用AgileDotNetRT.dll反编译插件,将所有代码全部混淆,增加了反编译难度。具体功能实现细节如下:

a.将自己写入注册表,实现自启动:

9c34eb46ff54f7ec6b5fc48860adb51a76a9e262

b.检测虚拟机:

90b38e03f17319264d618a5999c6542c1aaf3540

c.检测该样本账户机器是否已经被加密过,如果该样本账户uuid已经在他的服务器数据库中,且没有支付赎金,则不再加密该样本账户

febc2a48f94902f23277a8b6cccfb4e371f30a9a

d.创建aes的随机秘钥的代码如下:

00cb9769b4cefd15681e679423d2164afa65c38e

e.获取样本账户C:\\Users目录下的所有文件,如果文件后缀为".txt",".jpg",".png",".pdf",".mp4",".mp3",".c",".py"则对该文件进行加密,被加密文件的后缀为.enc,如果文件目录是载"Windows","Program Files","Program Files (x86)"目录下,则放弃对该目录文件的加密,最后如果C:\\Users目录下没加密的文件则被删除。

88c7a2299f1fd972c50ee97658e10f847e2a1e16

f. 加密完成后,会将加密的私钥上传到病毒作者的服务器上,代码如下:

b3505690ce01d6682c96b7979b3003385b90b31a

g.下载提示样本账户付款的图片,且将该图片改成该样本账户电脑的桌面背景,代码如下:

e970cb544cff807f9d31766504be26b8bb5e4003

三、 C&C地址分析

在分析代码的过程中,我们发现了该病毒连接数据库服务器和样本账户名和密码:

Data Source = victimssqlserver.database.windows.net;

user id=daniel;

password=Lifsgledi979

交赎金网站:http://Mindlost.azurewebsites.net,目前已经失效


e52c707effbc4f0fd8d9863b5f262937ec490df2

四、 补充信息和防护建议

目前,阿里云安全团队总共获取到Mindlost6个样本文件,通过时间戳分析,最早编译时间在2018.01.15, 此时的样本并未做代码混淆。

2018.01.25编译的版本中,已经对代码做了混淆。但所有样本都包含调试信息,其中较为敏感的是pdb文件路径” 

/Users/danielohayon/Documents/Mindlost/Mindlost/Mindlost/Encryptor/obj/Debug/Encryptor.pdb”Mindlost的名字也是来自于此,路径中还包含了样本账户danielohayon,由此猜测该勒索病毒还在开发中,就被已各安全人员发现。

当然,也不排除作者故意留下关键路径迷惑大家。

像这样的勒索软件样本,阿里云安全团队每天都会处理很多,大多都能通过及时的预警,病毒库与防御规则更新,将其在云上的影响降至最低。截至2月3日,阿里云平台客户不受MindLost勒索软件影响。

补充阅读:

阿里云安全团队建议:https://yq.aliyun.com/articles/427148?spm=a2c4e.11155435.0.0.1ba8a9dbcPcizn

加密勒索病毒处理方案 https://help.aliyun.com/knowledge_detail/50358.html

加密勒索事件防护方案 https://help.aliyun.com/knowledge_detail/48701.html





版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
JVM致命错误日志(hs_err_pid.log)分析
JVM致命错误日志(hs_err_pid.log)分析 发表于5天前(2015-08-28 17:10)   当jvm出现致命错误时,会生成一个错误文件 hs_err_pid.log,其中包括了导致jvm crash的重要信息,可以通过分析该文件定位到导致crash的根源,从而改善以保证系统稳定。
1441 0
cat命令分析_学习记录
cat命令是将标准输入输出到标准输出 SYNOPSIS        cat [OPTION]... [FILE]... 虽然我们经常用cat来查看文件,但是它的本意可不是查看文件的,而是concatenate and write file cat后可以跟文件,就是把文件的内容当做标准输入,输出到标准输出 cat f >> f2 就可以2个文件内容合并到一起去 cat  f1 f2 >> f4 就会把2个文件的内容合并到f4中 另外就是cat >> ff 接受的stdin就不会打印在stdout上,就会重定向到ff中 我们就会发现cat和重定向组合的很是频繁。
415 0
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6935 0
启明PDM招聘系统分析员
启明PDM招聘系统分析员 职位描述/要求: 岗位要求:见www.qm.cn(诚聘英才)报名时间:2010年4月26日前报名方式:网上报名,报名时登录www.qm.cn (诚聘英才,报名表格下载并发至duanjh_qm@faw.com.cn)填写《求职申请表》,我们将根据您的简历情况作初步筛选,并电话通知面试时间及相关事宜。
656 0
+关注
云安全专家
阿里云安全
314
文章
1
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载