本篇文章2012字,读完约5分钟

原标题:新型恐吓病毒只是炫技,金钱和跟风“wannaren”的来源:天鹅绒的安全性

感谢天鹅绒的安全送达

最近,很多网民受到火绒反馈的恐吓病毒攻击,攻击者通过后门病毒向顾客移植了恐吓病毒。 通过检查和分解样本,该恐吓病毒是为语言编写的,在加密文档后添加文字“_hd”,与以往常见的恐吓病毒不同,该恐吓病毒没有留下联系方法和恐吓赎金的消息,但可逆的解密阿尔

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

最终,天鹅绒技术人员根据其中的解密算法和线索成功地破译了恐吓病毒。

工程师在追踪和分解后门病毒的同时,升级产品,增加防御规则,切断病毒的传播途径(详细情况请参照报告书“黑客在游戏插件中植入后门病毒弹窗,呼吁“病毒对策的浪费”) 发布适当的解密工具( down5. huo Rong/ransom/hdlockerdecryptor.exe ),同时分解和平滑地解密这种威胁病毒。 羊绒软件(个人版、公司版)现在可以监听和调查上述后门和恐吓病毒。

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

解密工具图

客户还说,病毒作者曾用qq小号( 118****046 )联系他,将恐吓病毒发送到火绒论坛寻求帮助。 从中文聊天记录、弹窗信息、易语言制作病毒等特征来看,基本上肯定是国民在做。 不是为了破译赎金,只是为了向顾客和安全制造商炫耀技术,挑衅。 另外,不排除该病毒的作者4月初流行的、用同一语言写的威胁病毒“wannaren”的嫌疑。

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

实际上,因为语言的掌握容易,适合国人的语言环境,所以在国内的传达很广,采用者很多。 结果,使用语言制作恐吓病毒,攻击顾客的例子开始增加,也出现了本文所述的“只是为了炫耀,而不是为了金钱”的恐吓例子。 对此,天鹅绒也继续关注这种恐吓病毒和相关例子,立即完善完全的防御规则,确保客户的安全。 如果遇到上述恐吓病毒攻击,请随时与我联系。

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

提醒很多网民,对于大部分恐吓病毒,除非作者积极提供私钥(例如“wannaren”恐吓病毒),否则无法解密。 为了避免被威胁病毒加密造成的损失,大家要好好备份重要资料,保持良好的互联网习性,不要随便安装非正式软件,不要点击陌生的邮件和附件、链接,系统

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

附件:【分解报告】

详细地分解

在上一篇“黑客用游戏插件填充后门病毒弹窗,喊着“病毒对策的浪费”的报告书中,黑客曾提到过投入后门病毒,威胁病毒,加密顾客数据文件。 更奇怪的是,病毒作者留下了“我威胁,求反算法”的字符串。 然后,在尝试解读的过程中,发现在用于解读的8字节随机数据中,病毒作者有意地只将其中的4字节记录在有私钥的文件中,剩下的4字节需要用暴力解读的方法获得。 相关数据,如下图所示:

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

相关数据

该恐吓病毒被释放到后门病毒所在目录中的名为trae.exe的文件中,执行恐吓病毒后,用des算法对数据文件进行加密,随机生成的des密钥通过ecc (椭圆曲线加密算法 加密的数据文件目录,如下图所示:

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

对于加密文件目录。

勒索证明书

与以往的恐吓病毒不同,这种恐吓病毒在加密顾客文件后没有留下支付赎金的支付地址。 如果客户没有安装安全软件,病毒创建者将积极建议客户向安全制造商进行解密.。 然后,有一段时间,我们连续收到了与这种恐吓病毒相关的多个顾客问题。 与客户反馈相关的屏幕快照,如下图所示:

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

论坛顾客反馈新闻。

客户反馈聊天记录。

威胁病毒会随机生成ecc私钥和公钥。 然后,病毒代码连接ecc私钥和ecc私钥的crc32,对混合顺序(基于8字节随机数据的md5值)和异或(异或密钥随机)进行加密,最终写入“ecc加密. LG”文件 客户机文件数据用des算法加密,加密时des密钥随机,各文件对应的des密钥不同,des密钥用ecc公钥加密后存储在被加密文件中。 威胁加密过程,如下图所示。

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

加密流程图。

文件加密完成后,病毒程序将标签头、ecc加密的des私钥新闻和加密的文件新闻结合形成加密文件,相关的文件拷贝新闻如下图所示。

加密的文件结构

锯齿用的md5是根据8字节随机数据生成的,如下图所示,生成锯齿用的md5相关代码。

生成用于混合的md5

取得必要的md5值后,病毒混合解决以前得到的私钥和在私钥后面结合的私钥crc32值。 相关代码如下图所示。

混合私钥相关代码

混合顺序后的秘密密钥数据与之前生成的混合顺序md5随机数据中的3字节数据拼接,然后,将其中的1字节作为异或密钥,对秘密密钥数据进行异或加密。 最后,将异或密钥与加密的数据连接后,写入威胁证明书。 相关代码,如下图所示:

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

与异或加密和数据拼接相关联的代码

ecc私钥加密落地后,病毒开始加密文件。 病毒程序首先评估文件新闻,如果文件后缀是“exe”、“dll”、“sys”、“_hd”样式,或者文件大小大于0x2dc6c0字节,则跳过该文件,不加密。 否则,请使用zlib算法压缩文档副本,然后进行des加密。 相关代码如下图所示。

【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

比较文件扩展名和文件大小

压缩文件并加密。

二、附录

样品hash

标题:【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"

地址:http://www.tjsdzgyxh.com/tyxw/21232.html