Mbrcodes勒索軟件家族分析與解密

概述

近日，奇安信威脅情報中心紅雨滴團隊(RedDrip Team)監測到了近期新的勒索樣本家族：Mbrcodes。

Mbrcodes是由葡萄牙黑客開發用于針對Windows用戶的勒索病毒^[1]，其使用特定算法加密用戶數據并要求用戶使用比特幣支付贖金。此外，用戶被指定將信息發送至郵箱mbrcode@india.com換取解密密鑰。捕獲到的相關樣本信息如下：

樣本在VirusTotal上的檢測結果

Mbrcodes勒索病毒

mbrcodes勒索病毒感染后會將電腦中的文件后綴修改為.mbrcodes--zip的后綴名，并在受害者系統所有文件夾下創建名為HOW TO DECRYPT FILES.txt的文件，該文件用于顯示勒索信息以及支付贖金所用的郵箱地址，該地址為 mbrcode@india.com。

樣本行為分析

該勒索軟件在受害者主機上創建后會偽裝為zip 文件，在受害者點擊文件后觸發勒索行為。

通過分析發現，該勒索軟件通過讀取資源段數據并使用異或的方式解密數據，解密后的數據為需要勒索的文件后綴名稱，通過遍歷受害者系統內的文件，對指定后綴名稱的文件進行加密。

分析得出，會被加密的文件包括以下類型：

*.zip *.rar *.pst *.rar *.gbk *.REC *.DEC *.7z *.tar *.gzip *.jpg *.psd *.cdr *.dwg *.max *.gif *.png *.doc *.docx *.ppt *.pptx *.pdf *.xls *.xlsx *.djvu *.htm *.html *.mdb *.cer *.p12 *.pfx *.kvm *.pwm *.1cd *.md *.mdf *.dbf *.odt *.vob *.ifo *.torrent *.mov *.m2v *.flac *.ape *.wma *.ac3 *.bk *.mdb*.dwg *.xml *.dat *.dbf *.sql *.cns

勒索軟件在執行后，會在C:\Users\xxx\AppData\Local\Temp 路徑下創建一個名為d1W0PVv601af478.exe 的副本文件用于備份自身。

同時，該勒索軟件會在注冊表路徑HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創建名為Alcmeter項，并寫入備份文件所在的路徑（TEMP 路徑）完成持久化操作，常駐受害者系統。

此外，該軟件也會通過調用系統函數CopyFile() 通過判斷是否在Temp路徑下創建過備份文件，來判斷系統是否已經被勒索，實現互斥操作。如果系統未被勒索過，則執行加密行為進行勒索，反之則彈出窗口，提示受害者輸入密碼解密，進行勒索。

除了上述通過在注冊表路徑HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下創建Alcmeter 項實現持久化之外，該程序還會在HKEY_CLASSES_ROOT中創建DefaultIcon項和shell 項，用于記錄勒索軟件路徑信息。

并生成HOW TO DECRYPT FILES.txt 文件，并通過調用WriteFile 寫入到文件中，此文件主要為顯示勒索信息和攻擊者所用的郵箱地址。

程序會通過對比之前解析出的文件后綴列表中的項，判斷所遍歷的文件是否屬于待加密文件范圍，并在匹配成功后，對目標文件進行加密并修改文件后綴為mbrcodes—zip。

通過分析發現，該勒索使用的加密方式比較簡單，并且可以實現自解密，主要用到的算法包括xtea算法以及簡單的異或運算進行加密。算法反編譯代碼如下：

xtea算法：

異或算法：

文件加密后，如果再次執行該程序，會出現彈出輸入窗口并提示受害者輸入解密密鑰進行文件解密。

如果輸入正確的解密密碼，程序會將所有加密文件解密為正常狀態，并在完成解密后彈出解密成功的窗口提示受害者解密完成，提示信息如下：

Entered password is correct. Press OK to start decrypting of file's. Dont close window and wait until Files have been decrypted successfully!"

分析該樣本后發現，在解密窗口輸入字符后，程序會進入解密流程，有趣的是，該程序的解密方式主要是通過對比解密密碼在進行數次MD5 加密后的值是否與指定值匹配，在成功匹配后，便取出程序中攜帶的解密密鑰進行解密。

分析該勒索后發現，該程序所使用的密鑰值為：17 F6 28 D7 27 46 75 AE 05 F6 8F 97 FA 4A 70 32，所以該密鑰進行解密即可成功復原被加密文件。

解密流程

為了驗證正確性，我們使用一個已經被該勒索軟件加密后的圖片文件test.jpg進行解密測試。

通過上文的詳細分析我們可以知道：因為校驗的位置在匯編代碼mov esi,0x00406565下面的cmp al,dl匯編代碼位置，所以我們通過動態調試的方式將校驗的數據覆蓋在0x406565指向的內存位置處，通過修改內存即可繞過驗證完成解密：

成功解密后可以正常打開該圖片文件：

總結

該勒索極有可能通過論壇、下載站，外掛、KMS激活工具等進行傳播。經過實機測試，樣本本身無橫向移動等惡意行為。并且可以實現解密。

同時基于奇安信威脅情報中心的威脅情報數據的全線產品，包括奇安信威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統、奇安信NGSOC等，都已經支持對該家族的精確檢測。

安全建議

奇安信威脅情報中心建議廣大政企單位從以下角度提升自身的勒索病毒防范能力：

1. 及時修復系統漏洞，做好日常安全運維。

2. 采用高強度密碼，杜絕弱口令，增加勒索病毒入侵難度。

3. 定期備份重要資料，建議使用單獨的文件服務器對備份文件進行隔離存儲。

4. 加強安全配置提高安全基線，例如關閉不必要的文件共享，關閉3389、445、139、135等不用的高危端口等。

5. 提高員工安全意識，不要點擊來源不明的郵件，不要從不明網站下載軟件。

6. 選擇技術能力強的殺毒軟件，以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。

參考鏈接

[1].https://www.free-uninstall.org/how-to-remove-mbrcodes-ransomware-and-decrypt-mbrcodes-zip-files/?lang=zh