解码内置不安全“加密芯片”的勒索软件Gomasom

小龙 2017-5-16 HACK 0 1

title.jpg

前言

最近,我们发现了一种新型的勒索软件,因其使用了gmail作为邮箱服务器,故被命名为Gomasom。当用户运行了该勒索软件时,用户的文件会被加密,加密后的文件后缀名为”.crypt”。加密完成后会在桌面生成文件”Crypted.txt”,提示用户通过恶意软件作者提供的网址支付100欧元赎金。

通过谷歌搜索Gomasom勒索软件并且初步分析后发现,这是该家族的一个新变种,其加密方式与网上所描述的加密方式及症状并不完全相同,并且也不能通过网上的解密工具来解密加密后的文件。因此我决定逆向分析其算法并写出它的解密工具。

感染症状

当恶意程序运行后,桌面会显示如下的勒索信息界面:

infected.png

同时,桌面和C盘根目录会生成一个txt文件“Crypted.txt”,如图:

crypted.png

其中有一段字符串值得引人注意”S/N \dvwclF10U!)3p7“,初步猜测可能与密钥有关。

文件被加密,文件后缀名被更改为“.crypt”,如图:

goat.png

我们打开了恶意作者提供的网站,原文为俄语,通过翻译后,发现如下信息:

enc_3des.png

作者声称使用了3DES加密算法,并且“有许多的唯一的密钥被用来加密文件,想要解密是不可能的事情”。作者是否真的用了3DES算法加密文件?是否真的没办法恢复加密后的文件?带着疑问我们接下去通过逆向进行分析。

样本分析


我们发现样本使用了upx壳,脱完壳我们发现程序是用delphi语言写的,在动态分析之前,我使用分析软件PEID和 DeDe 来尝试获得一些有价值的信息。

通过PEID的Krypto Analyzer插件,我们发现使用了三种算法:base64, DES, MD5。如图:

peid.png

通过Dephi反编译工具DeDe 进行反编译后,如图:

DeDe.png

通过上图可以发现,病毒样本使用了名为”TDCP”的一个封装过的加密算法的类。通过搜索发现,这是一个开源的Dephi的加密算法类,名为DCPcrypt。粗略的看了下源码,由于源码中使用到的算法种类比较多,从源码中无法准确得知病毒样本使用了哪种算法,因此接下来进行动态分析。

判断文件”C:\crypted.txt”是否存在,若存在则退出程序。如图:

d1.png

S/N生成算法

通过调用Windows API函数 QueryPerformanceCounter,来获得随机数种子。随机种子seedl 接下去通过一个自定义码表生成一段长为14(0xe)字节的随机的字符串;随机种子seed0 被用作初始密钥的索引。

_rand生成种子seed

rand.png

_srand()通过seed种子,进一步运算生成新的种子。如图:

srand.png

将以上的代码,转化为Python代码,如图:

rand_srand.png

利用种子seedl,通过自定义码表获得随机字符,如图:

gen_sn_od.png

转化为Python代码,如图:

gen_sn.png

待加密文件后缀

初始化后缀名列表,如图:

init_ext_array_od.png

通过Python代码重新整理后,待加密的文件后缀名名列表如图:

ext.png

从上面的拓展名加密列表中发现,不仅用户的文档数据等会被加密,用户的程序源码(C语言,Delphi语言)也会被加密。看来对程序员有着深深的恶意! 同时猜测病毒作者可能习惯于使用C语言和Delphi语言。

加密算法

初始密钥一共有10组,全部硬编码在程序中,S/N的最后一位数字seed0作为索引值,对应取出其中一组初始密钥(长度为0×18),如图:

1.png

整理后的全部十组硬编码的密钥,如图:

2.PNG

通过MD5加密这组密钥后生成新的密钥,长度为16字节,MD5加密算法部分代码如图:

3.PNG

4.PNG

通过MD5算法生成的新密钥,用来加密文件。根据之前反编译代码,加密算法密钥长度,反汇编代码,等,我们确定加密算法为3DES。更确切的说算法是 3DES-128。

下面简单介绍下3DES算法:

3DES(又叫Triple DES)是三重数据加密算法(TDEA,Triple Data Encryption Algorithm)块密码的通称。它相当于是对每个数据块应用三次DES加密算法。密钥长度是128位,192位(bit),如果密码位数少于等于64位,加密结果与DES相同。原版DES容易被破解,新的3DES出现,增加了加密安全性,避免被暴力破解。它同样是对称性加密,同样涉及到加密编码方式,及填充方式。包括3DES-ECB,3DES-CBC,3DES-CTR,3DES-OFB,3DES-CFB

因为只使用了一种加密算法,并且是对称加密算法,我们可以编写代码进行解密。如图:

decrypt_file.png

编写解密代码,并运行,如图:

decrypt_file_cmd.png

运行结果,如图:

5.PNG

样本:

f77e7569b2b2c54c006821b02ef76cd5f3826a37

解密器代码下载地址:https://github.com/Voraka/Gomasom_Decryptor

总结

该勒索软件的确使用了128位的3DES加密算法,但并不是不可解密的,因为其密钥保存在本地,甚至就保存在程序本身,而且密钥只有10组,即使用户删除了保存着密钥编号的文件“crypted.txt”,然而也可以遍历这些密钥来逐一尝试解密。因此勒索软件设计存在较大缺陷,也正是这个缺陷帮助我们恢复了被加密的文件。看似存在多个”加密芯片“,但本身设计就是不安全的,有缺陷的,被加密后仍然可能不安全。

* 原创作者:Voraka,本文属FreeBuf原创奖励计划,未经许可禁止转载 

转载请注明来自华盟网,本文标题:《解码内置不安全“加密芯片”的勒索软件Gomasom》

喜欢 (1) 发布评论