威胁Xin解析 | MountLocker勒索改名为Quantum，卷土重来

病毒详细分析

病毒首先初始化，判断该用户是否为管理员账号：

获取计算机系统的相关信息保存到log文件中，日志文件命令格式为.exe.log，此日志文件包含有关机器、用户、域、已终止进程和服务以及每个文件状态（如果已加密或跳过）的信息：

进行提权操作：

提供PROV_RSA_FULL类型加密密钥，即RSA密钥，用于对数据进行加密操作：

CPGenKey为生成加密密钥的函数，用于后续对数据进行加密操作：

停止服务，避免影响文件加密：

遍历进程，包含恶意软件分析工具、Microsoft Office、浏览器和数据库等进程，结束这些进程，防止进程占用影响加密文件：

将提供的变量递增为量子操作，创建加密线程：

遍历文件和目录以便进行加密：

创建勒索信，并写入勒索信内容：

释放勒索信，加密文件添加.quantum后缀：

将文件属性设置为隐藏，设置信号状态：

遍历磁盘信息，与加密相同，包含本地磁盘以及网络磁盘：

信号量的增减操作，设置信号状态：

与网络资源建立连接，将本地设备重定向到网络资源，枚举网络资源，用于传播病毒文件：

获取域控信息，绑定ADSI对象，通过域控账号传播病毒文件：

进行身份验证：

在确认凭证有效后，通过将勒索软件二进制文件复制到其他机器的c$\windows\temp\共享文件夹开始在网络中传播：

拷贝自身到共享目录文件夹：

删除自身：

遍历进程

遍历恶意软件分析工具、Microsoft Office、浏览器和数据库等相关进程名：

加密算法

文件加密使用Salsa20 + RSA，在Salsa20对文件加密后，再将Salsa20密钥通过RSA公钥加密后，置于文件末尾。

加密流程

加密前初始化，生成加密密钥：

勒索加密函数：

通过Salsa20算法以1M为每轮加密区块大小对文件进行加密。Salsa20常见特征标志位“expand 32-byte k"，在本次加密算法中出现：

使用随机密钥对文件进行加密：

将加密使用的密钥通过RSA算法加密后，置于文件末尾，完成文件加密。

向上滑动查看所有内容