溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

發(fā)布時(shí)間:2021-10-11 18:26:19 來(lái)源:億速云 閱讀:264 作者:iii 欄目:編程語(yǔ)言

這篇文章主要講解了“如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍”,文中的講解內(nèi)容簡(jiǎn)單清晰,易于學(xué)習(xí)與理解,下面請(qǐng)大家跟著小編的思路慢慢深入,一起來(lái)研究和學(xué)習(xí)“如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍”吧!

背景概述

近日,深信服終端安全團(tuán)隊(duì)捕獲了Crylock勒索軟件變種。早在2014年,名為Cryakl的勒索軟件開(kāi)始運(yùn)營(yíng),期間進(jìn)行了多次迭代后在2020年更名為Crylock。根據(jù)文件二進(jìn)制信息,該勒索軟件可能由Bad Black Rabbit團(tuán)伙開(kāi)發(fā)。

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

樣本分析

使用Borland Dephi 7開(kāi)發(fā),利用動(dòng)態(tài)函數(shù)地址和動(dòng)態(tài)解密字符串做為反殺軟手段;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

調(diào)用的動(dòng)態(tài)地址函數(shù)從數(shù)據(jù)段解密字符串;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

隨機(jī)命名拷貝勒索病毒至%Temp%目錄;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

設(shè)置管理員模式重新運(yùn)行;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

添加開(kāi)機(jī)自啟;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

加密文件后綴白名單sys、dll、ini、log、bmp、bat;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

加密文件夾白名單recycle、windows、program files 、program data等;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

結(jié)束進(jìn)程白名單,除系統(tǒng)進(jìn)程外還包括遠(yuǎn)程桌面軟件anydesk.exe;

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

結(jié)束進(jìn)程。如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

執(zhí)行的CMD命令列表,用于關(guān)閉/刪除文件備份;

$ vssadmin delete shadows /all /queit
$ wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
$ wbadmin DELETE BACKUP -keepVersions:0
$ wmic SHADOWCOPY DELETE
$ bcdedit /set {{default}} recoveryenabled No
$ bcdedit /set {{default}} bootstatuspolicy ignoreallfailures

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

遍歷a-z盤(pán),先加密非系統(tǒng)盤(pán),最后加密系統(tǒng)盤(pán);

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

加密函數(shù)會(huì)根據(jù)文件大小和類(lèi)型選擇不同加密方式,以下其中三種加密類(lèi)別:

類(lèi)型

大小

加密方式


< 0x100000

(編號(hào)15)(默認(rèn))加密Filesize/2+1字節(jié)


> 0x10485760

(編號(hào)14) 加密0x3D090字節(jié)


< 0x30000

(編號(hào)18) 加密補(bǔ)成0x100000大小

加密15(默認(rèn))

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

在加密結(jié)束后,每段程序末尾寫(xiě)入{ENCRYPTSTART}以及加密信息,生成的128位種子被加密寫(xiě)入程序末尾,到最后以{ENCRYPTEND}結(jié)束。

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

加密流程

(1)勒索病毒將待加密明文分為512位一組,每生成512位密鑰后異或得到密文

在測(cè)試中發(fā)現(xiàn),相同密鑰種子生成的密鑰流相同,不受明文或密文影響

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

(2)512位密鑰生成器,由128位種子根據(jù)固定數(shù)組進(jìn)行擴(kuò)散和混淆形成密鑰

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

(3)128位種子生成器,根據(jù)randomSeed函數(shù)生成

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

(4)randomSeed函數(shù),根據(jù)32位初始種子生成,每次執(zhí)行初始種子會(huì)以固定算法變化

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

(5)初始種子,使用QueryPerformanceCounter、GetTickCount函數(shù)生成

如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍

以上分析結(jié)果表明:

  • 相同初始種子生成的512位密鑰流相同,不受明文/密文影響

  • 32位初始種子以固定算法變換134775813*initSeed+1

  • 明文以512位分組并異或512位密鑰得到密文

加固建議

1.日常生活工作中的重要的數(shù)據(jù)文件資料設(shè)置相應(yīng)的訪問(wèn)權(quán)限,關(guān)閉不必要的文件共享功能并且定期進(jìn)行非本地備份;

2.使用高強(qiáng)度的主機(jī)密碼,并避免多臺(tái)設(shè)備使用相同密碼,不要對(duì)外網(wǎng)直接映射3389等端口,防止暴力破解;

3.避免打開(kāi)來(lái)歷不明的郵件、鏈接和網(wǎng)址附件等,盡量不要在非官方渠道下載非正版的應(yīng)用軟件,發(fā)現(xiàn)文件類(lèi)型與圖標(biāo)不相符時(shí)應(yīng)先使用安全軟件對(duì)文件進(jìn)行查殺;

4.定期檢測(cè)系統(tǒng)漏洞并且及時(shí)進(jìn)行補(bǔ)丁修復(fù)。

感謝各位的閱讀,以上就是“如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍”的內(nèi)容了,經(jīng)過(guò)本文的學(xué)習(xí)后,相信大家對(duì)如何防止Cryakl勒索病毒改名換姓,更名Crylock持續(xù)活躍這一問(wèn)題有了更深刻的體會(huì),具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云,小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章,歡迎關(guān)注!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI