概述
TargetCompany是一种于2021年6月首次被发现的勒索病毒,2024年5月,发现了针对Linux平台的TargetCompany勒索病毒变种。TargetCompany因加密文件的扩展名又被命名为Mallox勒索软件,使用的其他扩展名包括.mallox和.xollam,最近出现了.wexor扩展名的变种。这些后期变种使用Curve25519和Chacha20、AES-128算法的组合来加密受害者的文件。
样本分析
| 字段 | 内容 |
|---|---|
| 文件大小 | 778.00 KB |
| 文件 MD5 | f0fb1e51df2440862c339c0d9fac20a5 |
| 文件类型 | EXE |
| 病毒名 | Ransom.TargetCompany!1.10768 |
| 主要功能 | 加密文件,释放勒索信 |
详细分析
勒索软件会把电源计划设置为高性能。
删除注册表项:删除与Raccine相关的注册表项,以及其配置的易被勒索软件利用的系统工具的映像劫持注册表项,以破坏其防护功能。
删除卷影副本:通过执行vssadmin.exe delete shadows /all /quiet命令,删除所有的卷影副本。
运行时检查系统语言遇到指定国家的语种时跳过加密。
0x43f 哈萨克语
0x419 俄罗斯
0x444 阿尔泰语
0x422 乌克兰
0x423 白俄罗斯
使用梅森旋转算法生成随机数。
使用Curve25519椭圆曲线加密算法的公钥生成AES的密钥。
使用BCryptGenRandom函数生成随机数
获取受害机的系统,磁盘,用户名等信息,把获取的数据写入到wex.txt中,再发送到hxxp://193.143.1.139/Ujdu8jjooue/biweax.php服务器。
加密过程
遍历卷设备,对非本地磁盘、软盘类型设置挂载点。防止加密时遗漏未获得卷标的磁盘。
从C盘开始遍历目录和文件来搜索要加密的文件,遍历时排除以下特定的文件和指定后缀名的文件。
读取遍历到的文件
单独创建一个进程对读取的文件进行加密,生成chacha20加密算法的密钥,使用chacha20算法对文件进行加密,再用AES算法对chacha20的密钥进行加密。
使用MoveFileW函数修改文件名:在原文件名后面加上.wexor。
在每个文件夹下释放一个勒索信
勒索信中有一个TOR网址。发现新的变种没有使用Mallox之前的网站,通过勒索信中的地址发现这次启用了一个新的一对一聊天界面,以用来给受害者和勒索组织进行谈判。
预防措施
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM目前已经可以检出此次样本。
沦陷信标(IOC)
-
MD5
f0fb1e51df2440862c339c0d9fac20a5 -
URL
hxxp://193.143.1.139/Ujdu8jjooue/biweax.php -
瑞星病毒名
Ransom.TargetCompany!1.10768