勒索病毒吗,我认得你!

随着又一波新冠病毒疫情泛滥,欧洲多国纷纷出台封城令,全球疫情形势再一次进入了寒冬。

可是别忘了,何止是新冠病毒呢,在人类高度依赖互联网的今天,计算机病毒也从来就没有停止过它对人类的各种威胁。

病毒无处不在,这不前几天我又遇上了麻烦事儿......


有同事打电话给我,说是他们部门陆续收到了很多奇怪的邮件。

怎么个奇怪法呢?

一是发件人名称虽是正确的供应商名称,但后面的邮箱地址显然不正确,而正文最下方的落款却又是正确的。

二是正文内容几乎没有什么实际内容,只有一行写着附件的解压密码,而附件正是一个 zip 文件。


密码瞅着还挺吉利哈,不过很明显的,发件人地址是匿名发送,应该是伪造的。

出于职业敏感,我的第一感觉是,这封邮件肯定有问题。

废话,这么奇怪的邮件没问题才怪!

呵呵,但是具体会是什么问题呢?

它是个病毒邮件吗?

于是我头上顶着几个大问号,开始了实验。


在确保安全的情况下我保存了这个附件,就拿它来做测试吧。

然后我在自己的电脑上解压缩了保存的这个附件,的确它是需要密码的。

使用邮件中提示的密码,只解压出一个同名称的 Word 文档文件。


难道这是个 Word 宏病毒?

话音刚落,电脑上的 Symantec 就提示报警了。


我不敢直接打开它,于是找了一个在线杀毒的网站,先确认看是不是真有病毒。

找到一家在线检测病毒的网站,打开链接 https://www.virustotal.com/gui/

分别上传 zip 文件和已解压缩的 Word 文件。

好家伙,果然有问题啊。


有人说了,从图上看这个 zip 文件并没有检测出病毒呀。

骚年图样图森破,我想说的是,这个 zip 文件是有解压密码的。

虽然加个密码挺简单,但正是因为没有密码无法正确解压,所以它才能逃避杀毒软件的查杀啊。

从第二张图中也能看到,有很多杀毒引擎已经能够识别这个病毒了,但大部分(图中未能显示,其实后面还有很多很多)杀毒引擎还是无法识别的,不得不说安全风险挺高的。


好了,至此一般的小白就可以长出一口气,直接把这个文件扔进垃圾筒了事了。

不过嘛,我比一般的小白水平要高那么一点点。

嘿嘿,病毒辣么神奇,我想去看看~


找了一台虚拟机,切断网卡,关闭通讯,形成一个封闭的环境。

把事先放进去的病毒 zip 文件解压缩,双击打开了那个神秘的 Word 文档。

文档正常打开了,出现在眼前的只有一个警告框。


警告框内赫然写着“此文档已被保护”,下面小字“无法预览被保护的文档,必须启用编辑内容”之类云云。

左上角一枚亮瞎狗眼的 Office365 标识,呵呵哒,我这用的可是 Office2007 啊喂!

忽悠得了小白忽悠不了我啊,与网上同类忽悠对比,这也太偷懒了吧。


还好 Office 宏安全默认都是禁用的,文档中的代码没有被触发。

那么我想看看它里面到底都写了啥怎么办?

好办,按下 Alt+F11 即可打开 VBA 界面。

可是如果你这么干,实际是你啥都看不到,这又是为什么呢?


其实原因很简单,因为还没有点击“启用内容”。


但是,如果你先点击了“启用内容”,然后再按 Alt+F11 ,这回倒是能看到宏代码了,可你也可能就此中招了。

这可怎么办好,进退两难嘛!

其实不用纠结,办法总比困难多。

还有一个好办法就是,在点击“启用内容”之前先按住 Shift 键,然后再点击“启用内容”,之后再按下 Alt+F11 即可。


经过这么一操作,真的就出现了宏代码。

有点小遗憾的是,虽然代码看上去不算是乱码,但整体可读性不是一般的差,应该是作者故意把代码混淆了。

在下才疏学浅,实在是读不下来。


尝试点击“启用内容”让它执行,发现 PowerShell 进程一闪而过。


后来在网上找了一些相关的文章,才了解到这是一些勒索软件的套路。

简而言之,就是勒索软件通过执行宏代码,释放 ps1 后缀名的 PowerShell 文件,然后执行它用于连接远程服务并下载相应的病毒文件并执行之,最后锁定文件达到勒索用户的目的。

在此期间,代码中不管是用于写文件也好还是执行命令也好,基本上都采取了加密手段。

我使用 Process Monitor 捕获相关信息如下,猜测可能基于 Base64 等算法使用 PowerShell 来解密。


而其中的 .ps1 文件无论我怎么努力都无法正常获取。

难道除了临时文件夹外还有其他地方,或者只在内存中执行同时也加了密?

我不得而知,知识匮乏令我窒息,贫穷限制了我的想像。

请原谅,我虽然比小白高那么一点点,但也仅限那么一点点,距离大神还差不多不少正好十万八千里。

希望能有大神给予指教。


折腾了许久仍不得要领,最终还是让同事部门联系供应商注意杀毒防范,应该是供应商方面中毒导致邮件滥发。

同时自己公司内部展开病毒检测工作,还好暂时没有问题。

最后还是友情提醒和我一样的小白们吧:

1、收到邮件后务必先确认来历;

2、不打开、不下载、不回复来历不明的邮件;

3、日常禁用 Office 的宏功能,真正要用的时候再打开;

4、安装有效的杀毒软件,定期检查更新。


WeChat @网管小贾 | www.sysadm.cc



提交评论

安全码
刷新

© 2020-present 网管小贾 | 微信公众号 @网管小贾
许可协议:CC-BY-NC 4.0 | 转载文章请注明作者出处及相关链接