Phobos 勒索病毒樣本分析

Phobos勒索病毒在近年來的熱度不斷上升，感染率不斷提升，該病毒執行后會加密各種文件，并以zip.id[number].[hudsonL@cock.li].Devos命名。

下面對該家族樣本進行分析，主要分析該病毒特征和行為。

勒索信：

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: hudsonL@cock.li.
If you have not received a response within 24 hours, write to us at Jabber: helprecovery@gnu.gr

勒索圖片：

勒索圖片

一、CRC32進行校驗

該樣本開局使用CRC32算法檢測樣本完整性，該算法在病毒中多次使用。

1.png

二、對樣本進行提權操作

判斷樣本權限，若沒有權限，則進行提權操作。

提權

三、使用AES進行消息解密

使用AES對密鑰進行解密后，根據節表進行讀取。

節表一區間為0xC，依次為索引、偏移、長度。

aes1

資源解密密鑰如下：

00AAF128  87 8F 65 5E 1B 30 7D E2 97 4B 8C 35 E4 46 B5 01  ..e^.0}a.K.5?Fμ.
00AAF138  00 00 00 00 38 F1 F2 75 00 28 E3 00 18 F6 0F 01  ....8?òu.(?..?..

資源解密向量如下：

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

解密成功后部分：

Untitled

四、網絡通信

由于該樣本未配置IP，故未產生網絡連接

網絡.png

五、持久化駐留

在下列目錄中對勒索病毒進行拷貝留存

C:\Users\86173\AppData\Local

C:\Users\86173\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup;

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

注冊表中設置開機自啟動項

Software\Microsoft\Windows\CurrentVersion\Run

持久化駐留

六、創建線程終止占據文件的進程

拍攝進程快照，依次判斷進程是否有文件占用。

嘗試終止進程，盡可能加密更多文件。

terminal

七、對文件進行勒索加密

1、通過隨機數生成密鑰，包括獲取進程pid、tid、獲取運行時間，獲取本地時間等

隨機生成密鑰

2、判斷文件是否為空，若不為空，設置文件屬性，根據文件大小加密文件。

加密

總結：

樣本通過采用CRC32校驗+AES加解密進行制作勒索樣本。

1. 進行CRC32校驗
2. 判斷是否提權，若未提權則進行提權的相關操作
3. AES解密相關消息，后面根據節表信息進行內容讀取
4. 建立網絡通信，發送連接請求
5. 持久化駐留，拷貝留存相關信息
6. 創建線程終止占據文件的進程
7. 隨機創建加密密鑰，對文件進行加密

由于使用作者公鑰進行加密，故無私鑰的情況下，AES暫時無法解密。

防范建議：

可以使用安裝殺毒軟件的方法進行防范。

該樣本并未做太多對抗行為，特征明顯，可以被傳統殺軟有效攔截。