Wednesday, 16 March 2016

Locky Ransomware-Γρηγορη αναλυση

Intro


Ενα νεο ransomware που κυκλοφορει εδω και μερικες εβδομαδες ειναι το Locky (Μαζι με το Cerber που θα αναλυθει σε αλλο αρθρο). Δεν εχει καποια ουσιαστικη διαφορα με τα υπολοιπα ransomwares, παρολαυτα οι τροποι διαδωσης που χρησιμοποιει ειναι παρομοιοι με του Dridex. Μαλιστα τις τελευταιες μερες αρχισε να διαδιδεται και στην Ελλαδα.

Το sample που θα αναλυσουμε εχει τα εξης χαρακτηριστικα:

File Name: 65fg67n.exe
MD5: e1a9b6f7285a85e682ebcad028472d13

Tools

Ollydbg

Ollydbg Plugins

StrongOD

Unpacking


Αξιζει να σημειωσουμε οτι υπαρχουν αρκετα samples που εχουν διαφορετικους τροπους unpacking. Για παραδειγμα, το εκτελεσιμο με ονομα "eiasus.exe" (MD5:9f622033cfe7234645c3c2d922ed5279) δημιουργει ενα εκτελεσιμο με ονομα "svchost.exe" στο %TEMP%, το οποιο ειναι packed με το UPX. Παρολαυτα, το αποτελεσμα ειναι το ιδιο.

Στο sample που θα αναλυσουμε, ο τροπος που θα κανουμε unpack ειναι διαφορετικος. Ανοιγουμε το sample στον Olly και βαζουμε breakpoint στο VirtualFree, επειτα τρεχουμε το αρχειο (F9). Σταματαμε εδω (Εικονα 1)

Εικονα 1

















Επειτα, δεξι κλικ στο dumped window, Backup->Save Data to File

Unpacked File

Με μια γρηγορη ματια στα strings του unpacked αρχειου (Εικονα2) βλεπουμε τις παραμετρους που θα χρησιμοποιησει για να στειλει ενα HTTP request. Επισης βλεπουμε το Registry path που θα χρησιμοποιησει ωστε να παραμεινει το malware μετα απο reboot(Εικονα 3).

Εικονα 2
















Εικονα 3



















Παρακατω βλεπουμε μερικα HTTP requests που στελνει (Εικονα 4,5)

Εικονα 4


Εικονα 5



























Επιλογος

Αν καποιος χρηστης μολυνθει απο το Locky, θα του εμφανιστει το παρακατω μηνυμα (Εικονα 6). Δυστηχως δεν γινεται να επαναφερει καποιος τα αρχεια του αφου χρησιμοποιει RSA και AES (Αν κανετε αναζητηση τα intermodular calls στο unpacked αρχειο,θα δειτε calls οπως CryptGenRandom,CryptImportKey)

Εικονα 6
















Σημειωσεις

Το συγκεκριμενο αρθρο ηταν μια γρηγορη αναλυση του Locky ransomware. Αν θελετε να δειτε παραπανω λεπτομερειες, η Malwarebytes εχει ενα αρκετα καλο αρθρο σχετικα με το Locky.