病毒詳細(xì)分析

“

Windows版本分析

向上滑動閱覽

該勒索首先會在程序窗口中顯示"ENCRYPTION"：

獲取"COMSPEC"環(huán)境變量值，該變量指向?qū)?yīng)命令行：

該勒索軟件通過運行以下命令刪除所有卷影副本：

后續(xù)用于加密隨機(jī)生成的ChaCha20密鑰的RSA公鑰：

獲取Temp目錄的路徑，在Temp目錄下創(chuàng)建"dlaksjdoiwq.jpg"文件，后續(xù)用作桌面壁紙：

將新創(chuàng)建的圖像設(shè)置為桌面墻紙：

獲取Temp目錄的路徑，在Temp目錄下創(chuàng)建"fkdjsadasd.ico"文件，后續(xù)用作被加密文件的圖標(biāo)：

該勒索軟件創(chuàng)建了".basta\DefaultIcon"注冊表鍵，將“默認(rèn)”鍵值設(shè)置為ICO文件的路徑，并通過調(diào)用SHChangeNotify函數(shù)通知系統(tǒng)圖標(biāo)已經(jīng)被更改：

遍歷系統(tǒng)中的卷，獲取卷的驅(qū)動器字母（C-Z）和文件夾路徑列表：

獲取卷中文件的屬性信息：

在文件目錄中創(chuàng)建"readme.txt"勒索信文件：

檢索當(dāng)前系統(tǒng)的信息，用于標(biāo)識計算機(jī)ID：

該勒索軟件創(chuàng)建了多個線程，用于后續(xù)更快地處理和加密文件：

遍歷文件及目錄：

文件目錄過濾，設(shè)置不加密文件及不加密后綴白名單，在加密文件時避免加密白名單文件：

獲取驅(qū)動器以及文件屬性信息：

該勒索軟件在加密文件時，也會對.exe、.cmd、.bat和.com后綴的文件進(jìn)行加密：

勒索加密分析————

勒索加密函數(shù)：

該勒索軟件使用Mini-GMP庫實現(xiàn)了RSA算法：

通過ChaCha20算法以64 bytes為每輪加密區(qū)塊大小對文件進(jìn)行加密。ChaCha20常見特征標(biāo)志位“expand 32-byte k"，在本次加密算法中出現(xiàn)：

使用隨機(jī)密鑰對文件進(jìn)行加密后，將加密后的數(shù)據(jù)寫入文件中：

將加密使用的密鑰通過RSA算法加密后，置于文件末尾，完成文件加密：

對被加密的文件添加".basta"后綴：

最后該勒索軟件將執(zhí)行過程中花費的時間和加密文件的總大小輸出：

“

Windows其他版本差異化分析

向上滑動閱覽

與之前分析版本相比，2022年4月的 Black Basta 勒索版本中，新增了在加密之前以安全模式啟動系統(tǒng)、出于持久性原因模擬Windows服務(wù)等功能：

• 程序支持命令行參數(shù)"-forcepath"，該參數(shù)只用于加密指定目錄下的文件：

• 停止并刪除名為"Fax"的服務(wù)，為其加密進(jìn)程模擬Windows服務(wù)，以達(dá)到持久化效果：

• 設(shè)置注冊表，禁用Windows修復(fù)和恢復(fù)功能，在加密文件之前以安全模式啟動系統(tǒng)：

2022年9月至10月期間 Black Basta 勒索軟件進(jìn)一步演變，新增了互斥體創(chuàng)建功能、支持命令行參數(shù)"-bomb"以及遠(yuǎn)程訪問WMI服務(wù)等功能：

• 創(chuàng)建互斥體防止多個進(jìn)程運行，互斥體名為"dsajdhas.0"：

• 支持命令行參數(shù)"-bomb"，當(dāng)使用該參數(shù)時，會執(zhí)行以下操作：

• 使用LDAP庫連接到AD域控，并獲取網(wǎng)絡(luò)上的機(jī)器列表：

• 根據(jù)獲取到的機(jī)器列表，將自身復(fù)制到列表中的每臺機(jī)器上：

• 通過調(diào)用CoCreateInstance函數(shù)，創(chuàng)建一個Com對象：

• 遠(yuǎn)程訪問WMI服務(wù)，實現(xiàn)遠(yuǎn)程執(zhí)行勒索軟件：

“

ESXi版本分析

向上滑動閱覽

首先程序支持命令行參數(shù)"-forcepath"，該參數(shù)只用于加密指定目錄下的文件，當(dāng)無法找到指定目錄時，程序會報錯并退出：

該版本也會在窗口中顯示"ENCRYPTION"：

后續(xù)用于加密隨機(jī)生成的ChaCha20密鑰的RSA公鑰：

檢索系統(tǒng)中/vmfs/volumes目錄，后續(xù)對此文件夾中的文件進(jìn)行加密，當(dāng)無法找到/vmfs/volumes目錄時，程序會報錯并退出：

在文件目錄中創(chuàng)建"readme.txt"勒索信文件：

創(chuàng)建了多個線程，用于后續(xù)更快處理及加密文件：

通過使用chmod為文件提供權(quán)限：

遍歷文件及目錄：

該勒索軟件的文件加密黑名單：

勒索加密函數(shù)：

該版本勒索軟件也使用Mini-GMP庫實現(xiàn)了RSA算法：

通過ChaCha20算法以64 bytes為每輪加密區(qū)塊大小對文件進(jìn)行勒索加密。ChaCha20常見特征標(biāo)志位“expand 32-byte k"，在本次加密算法中出現(xiàn)：

通過RSA算法加密后的隨機(jī)密鑰對文件進(jìn)行加密，將加密后的數(shù)據(jù)寫入文件中，完成文件加密：

對被加密的文件添加".basta"加密后綴：

最后該勒索軟件將執(zhí)行過程中花費的時間和加密文件的總大小輸出：