Blackout勒索病毒再度来袭

一、样本简介

Blackout勒索病毒家族是一款使用.NET语言编写的勒索病毒，它会将原文件名加密为BASE64格式的加密后的文件名，首次发现是在2017年7月份左右，样本使用了代码混淆的方式防止安全分析人员对样本进行静态分析，此次发现的Blackout勒索病毒样本经过分析确认是V3.0版本的Blackout家族最新变种样本，采用RSA+AES加密算法对文件进行加密，加密后的文件无法解密还原。

二、详细分析

1.样本使用.NET语言进行编写，如下所示：

neqqymN.jpg!web

2.反编译NET程序，样本经过了混淆处理，如下所示：

eEFFzmB.jpg!web

3.样本去混淆，如下所示：

ZBfE73n.jpg!web

经过调试发现此款Blackout勒索病毒是V3.0版本的最新变种样本blut3，如下所示：

myMJVf3.jpg!web

4.获取磁盘驱动信息，如下所示：

Q36zYju.jpg!web

5.通过RNGCryptoServiceProvider生成随机数，如下所示：

qA77vmr.jpg!web

生成结果，如下所示：

euymayQ.jpg!web

6.获取机器名，如下所示：

3aeMFz6.jpg!web

7.获取用户名，如下所示：

nIjU7jb.jpg!web

8.生成临时备份文件目录，如下所示：

FBFj6z6.jpg!web

9.设置Form窗体的属性，如下所示：

fAbaUr6.jpg!web

10.获得需要加密的文件的后缀名列表，如下所示：

VBbInef.jpg!web

相应的文件名后缀如下所示：

“.mdf”,”.db”,”.mdb”,”.sql”,”.pdb”,”.dsk”,”.fp3″,”.fdb”,”.accdb”,”.dbf”,”.crd”,”.db3″,”.dbk”,”.nsf”,”.gdb”,”.abs”,”.sdb”,”.sqlitedb”,”.edb”,”.sdf”,”.sqlite”,”.dbs”,”.cdb”,”.bib”,”.dbc”,”.usr”,”.dbt”,”.rsd”,”.myd”,”.pdm”,”.ndf”,”.ask”,”.udb”,”.ns2″,”.kdb”,”.ddl”,”.sqlite3″,”.odb”,”.ib”,”.db2″,”.rdb”,”.wdb”,”.tcx”,”.emd”,”.sbf”,”.accdr”,”.dta”,”.rpd”,”.btr”,”.vdb”,”.daf”,”.dbv”,”.fcd”,”.accde”,”.mrg”,”.nv2″,”.pan”,”.dnc”,”.dxl”,”.tdt”,”.accdc”,”.eco”,”.fmp”,”.vpd”,”.his”,”.fid”

11.获取当前进程信息，如下所示：

jaUBzir.jpg!web

获得当前进程名，如下所示：

biYfqin.jpg!web

12.获取主机进程信息，如下所示：

IvQBRfA.jpg!web

并判断主机操作系统平台，是否为XP,Win32NT，远程主机等，如下所示：

Azyu6vA.jpg!web

13.判断操作系统的语言版本包含如下字符串，如下所示：

VvMFfaf.jpg!web

类型包含如下字符串，如下所示：

ye2YJvM.jpg!web

14.遍历相关进程，如下所示：

Zj6FBvv.jpg!web

然后结束上面相关进程，如下所示：

rAv6vyv.jpg!web

相关进程列表，如下所示：

taskmgr、sqlagent、sqlbrowser、sqlservr、sqlwriter、oracle、ocssd、dbsnmp、
synctime、mydesktopqos、agntsvc.exeisqlplussvc、xfssvccon、mydesktopservice
ocautoupds、agntsvc.exeagntsvc、agntsvc.exeencsvc、firefoxconfig、tbirdconfig
ocomm、mysqld、sql、mysqld-nt、mysqld-opt、dbeng50、sqbcoreservice

15.拷贝自身到临时目录C:\Users\panda\AppData\Local\Temp\Adobe下，然后设置自启动注册表项，如下所示：

ZZfQBny.jpg!web

拷贝到相应的目录，如下所示：

aeiEn2J.jpg!web

16.生成RSA密钥，如下所示：

IVJRZvv.jpg!web

生成的RSA密钥，如下：

<RSAKeyValue><Modulus>gS1EQF1vkdTuplcqTNexJr+EgQa9g6tw7sSiirENylIC1YWaKWCf30pPPqkG3Djt7/gsnAbe3pJipn45QmiJk7zjytMuVi993nYV1wmy6Q9Y2hARIvmQdSPaPF83hHsZG8VQUj7zlhGkrYj4Kn+lG86x5lUlaT+3YnXnr0XqiV+JLDr7oZIZzDSIFgAFP6jy19x4lfkr8QJyisYPRh1SUSEyU8MBO9tcHLCMNtFUilio2gcZXup7nb1Kmq3mTupEHYVxhcSttOTJIJ6SDyzBGFQikp6Jbi8oNBmlVvltHnnQcCmmSHXonUKwMGhFIi2oIp8JGLRQXAOoP2bzs8If2Q==</Modulus><Exponent>AQAB</Exponent>
</RSAKeyValue>

通过RSA密钥对Key进行加密处理，如下所示：

2yaYJbu.jpg!web

生成256位的加密密钥，如下所示：

QJnERr3.jpg!web

密钥如下所示：

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

把密钥转化为Base64字符串，如下所示：

"XylHRUTr5UwlEH7cRoVIF4/yCelvnQDiKFeeV6cjPzfhqkj079xdMQBvdXUHrDhUdyEfMoWWweHFVyoWPCJ2WjkR/Pdq101I/qt+LoUeP79sveIR6Mbz6VJohaMTnBfsU8Zv31rv5Y7rqVAewGU9meYvUgAikAZjeKgTAqPwIscjDa0w/rNJcRh3ZMk3Bdy/UoC4mjSFM+zkIo1opKe+nOFxvlHZfUj+4+U2aP2ig9CtoexoCe4IN/jtCUtPbXRMzqtLDCTCIg/qZD8LQeNBZcwaTcA4c9ThYEX/uQdK8Ls8TXKedgdIS/hYtcgvZf4SLrLcahJyH6Y3tgJ1LnDZCw=="

17.遍历磁盘，如下所示：

jmemQjm.jpg!web