近日，亚信安适截获全新勒索病毒Ouroboros，此勒索病毒在加密文件完成后会添加.[ID=十位随机字符][Mail=unlockme123@protonmail.com].Lazarus的后缀，亚信安适将其定名为Ransom.Win32.OUROBOROS.SM。跟着深入的分析，安适专家发明了黑客使用的FTP处事器，处事器上还存有Ouroboros勒索病毒变种文件，安适专家猜测该勒索病毒目前正处在连续更新中，亚信安适将会连续存眷该勒索病毒的动态。
 
勒索病毒Ouroboros详细分析
 
安适专家分析发明，该勒索病毒源文件并未加壳：
 

 
使用IDA打开此文件，加载标记文件时发明病毒作者编译措施留下的标记文件位置，以此确定此勒索病毒为Ouroboros：

  初阶分析，该勒索病毒中有大量的反调试函数，或者通过函数中包罗return函数的形式增加病毒阐举事度：

  进入到措施关键函数，该勒索病毒会挪用PowerShell措施，通过vssadmin delete shadows /all /y命令删除卷影副本：

  然后加载病毒中需要的信息，如邮箱信息，生成ID：

在地点40A000的位置，安适专家发明勒索病毒会进行进程遍历，*与数据库相关的进程：
 

  该病毒使用了SFML(Simple and Fast Multimedia Library)网站的一个资源：http[：]//www[.]sfml-dev[.]org/ip-provider.php

访谒此网址后，可以获取到访谒者的公网IP地点(图中红框位置为get请求包内容)：

  然而在此勒索病毒中，此网站成了用来获取受害者IP的工具(为了正常分析，我在本地搭建了一个web，通过hosts将sfml-dev[.]org指向本地，图中地点为本地web环境伪造的响应地点)：

  该病毒会测验考试成立与主机176.31.68.30的连接，等到措施收集了IP、ID、磁盘使用情况和key的信息后，一并发送给主机176.31.68.30，并且期待返回包。

  该病毒不会在主线程中直接进行加密操纵，而是将加密逻辑的函数地点作为参数通报给新创建的线程，新线程中获取到对应参数，再进行跳转执行。加密逻辑会遍历磁盘上的文件夹，查抄是否是Windows目录以及文件名中是否包罗eScan、!qhlogs、info.txt字符，如果切合条件，制止对这些文件或者目录下的文件进行加密操纵

 

否则其会读取文件内容，开始在内存中对文件内容进行加密：

  文件内容加密完成后，其会创建以下后缀的文件：[ID=十位随机字符串][Mail=unlockme123@protonmail.com].Lazarus

然后，其将加密内容写入创建的带后缀的文件中，随后删除未被加密的源文件：

  完成勒索后，释放勒索信息的文件Read-Me-Now.txt，文件内容如下：

  普通勒索病毒到这里可能就已经完成了所有逻辑，但是安适专家做了静态分析后发明，此病毒还会触发ftp连接的操纵，从176.31.68.30的ftp上下载名为uiapp.exe的文件到本地C：\\ProgramData\\uiapp.exe，从此，启动新的进程来执行此文件：