Dablio——具有潜在威胁的勒索病毒
2018-12-14
威胁等级:★★
Dablio勒索病毒是一款由python语言编写的恶意软件,会通过邮件和恶意附件、网页挂 马、欺诈下载、服务器入侵和虚假软件更新等多种方式传播,该病毒会加密doc、xls、 ppt、iso等几十种文件,加密完成后会弹出窗口,包含赎金说明,描述您的文件发生了 什么,以及如何支付赎金获取密钥解密文件。
病毒简介
2018年12月,安全研究员发现一款由python语言编写的勒索软件Dablio,它的代码与两年前的HolyCrypt有些类似,该勒索软件似乎还在开发测试中,没有完全部署分发基础设施。可能会通过使用电子邮件、垃圾邮件和恶意附件,网页挂马,欺诈下载,服务器入侵,虚假软件更新等多种传播。
与大多数勒索病毒一样,Dablio会加密doc、xls、ppt、iso等几十种文件,加密完成后会弹出窗口,包含赎金说明,描述您的文件发生了什么,以及如何支付赎金获取密钥解密文件。目前Dablio勒索病毒使用了AES对称加密算法,密钥硬编码在程序中,因此可以解密文件。
病毒攻击视频
查杀病毒视频
拦截病毒视频
病毒分析
病毒伪装成chrome谷歌浏览器,实际是python语言编写的勒索病毒,打包成EXE文件
反编译成功后可以看到病毒源代码,如下:
准备工作
病毒运行后,首先删除所有数据备份,防止通过本地恢复
在C:\\Windows\\SoftwareDistribution\\Download目录下创建病毒副本
图-创建副本
加密文件
遍历磁盘,对以下后缀文件进行加密
图-加密的文件后缀
该勒索病毒使用了AES-256算法进行加密
Key为定义的字符串的哈希值
文件大小和AES初始化向量IV被写在文件头
文件被加密,文件名前面被追加了(encrypted) 12个字符,如下所示:
图-被加密的文件
加密完成后,弹出勒索窗口,提示受害者文件已经被加密,需要通过购买比特币进行解密:
图-勒索窗口
解密文件
因为该病毒使用了AES对称加密算法,key被硬编码到病毒文件中,因此被加密的文件是可以解密的
解密代码有一处错误,只可解密部分,修正代码后可以正确进行解密
图-解密对比
图-解密代码
IOCs
MD5:
CD4B864A78DA9FD674F099EC1703DBB9
Email:
dablio@tuta.io
Ransom Notes:
#DABLIO Good Morning. Good afternoon. Good evening. I'm sorry to inform you that your computer was ENCRYPTED. ALL YOUR FILES WERE COMMITTED. PAY TO HAVE YOUR FILES IN NORMAL CONDITION. DO NOT WORRY! EVERYTHING WILL BE BACK. ACCESS THE WEBSITE WWW.LOCALBITCOIN.COM AND MAKE THE PURCHASE OF THE BITCOINAND TRANSFER OF THE BITCOIN TO MY WALLET. AFTER WE SEND UNLOCK CODE OF YOUR FILES. THANKS; Email:dablio@tuta.io Cry Now. Laugh Later.
Encrypts files with the following extensions:
.jpg .jpeg .bmp .gif .png .svg .psd .raw .mp3 .mp4 .m4a .aac .ogg .flac .wav .wma .aiff .ape .avi .flv .m4v .mkv .mov .mpg .mpeg .wmv .swf .3gp .doc .docx .xls .xlsx .ppt .pptx .odt .odp .ods .txt .rtf .tex .pdf .epub .md .yml .yaml .json .xml .csv .db .sql .dbf .mdb .iso
防御措施
- 不要使用弱口令账号密码,要将系统的密码设置为复杂密码
- 尽量关闭不必要的文件共享和端口,如:445,135,139等
- 不打开来源不明的邮件附件,防止病毒通过钓鱼邮件攻击
- 及时安装系统补丁,防止病毒通过漏洞植入
- 安装杀毒软件开启防护,拦截查杀病毒
- 安装勒索病毒防御软件,防止重要文件被加密
- 对重要的文件进行定期备份
编辑:瑞瑞 阅读: