如何理解Hospit勒索解密

這篇文章主要介紹“如何理解Hospit勒索解密”，在日常操作中，相信很多人在如何理解Hospit勒索解密問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對(duì)大家解答”如何理解Hospit勒索解密”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

背景概述

Hospit勒索病毒最早于2020年12月被發(fā)現(xiàn)，其主要通過RDP暴破等方式傳播，具有很強(qiáng)的行業(yè)針對(duì)性。早期變種加密后綴為”.guanhospit”，攻擊目標(biāo)均為醫(yī)療單位。而此次發(fā)現(xiàn)的變種加密后綴為”.builder”，攻擊目標(biāo)均為制造業(yè)。由此可以看出，Hospit勒索病毒背后的團(tuán)伙似乎不同于其他勒索團(tuán)伙的隨機(jī)選擇，該團(tuán)伙每一次行動(dòng)都具有很強(qiáng)的目標(biāo)性，未來可能將有更多的行業(yè)成為其攻擊目標(biāo)。

深信服終端安全團(tuán)隊(duì)通過對(duì)捕獲的樣本進(jìn)行分析，其對(duì)于10M以下的文件加密存在漏洞，加密秘鑰存在被暴破的可能，第一時(shí)間開發(fā)了對(duì)該勒索病毒的解密工具，可以對(duì)被hospit勒索病毒加密的低于10M的文件進(jìn)行解密，挽回部分損失數(shù)據(jù)。

勒索解密

使用說明：

1. 需要提供一個(gè)被加密前的原文件，以及其被加密后的文件，用于暴破密鑰，盡量選擇比較小且加密時(shí)間較早的文件；

2. 輸入Key Identifier，可從勒索信息中進(jìn)行復(fù)制；

3. 根據(jù)勒索發(fā)生后是否重啟過主機(jī)等情況，進(jìn)行對(duì)應(yīng)的選擇；

4. 如果密鑰暴破成功，輸入需要解密的目錄進(jìn)行解密。

樣本分析

1.創(chuàng)建互斥量，防止重復(fù)運(yùn)行：

2.創(chuàng)建線程，當(dāng)檢測到如下進(jìn)程時(shí)退出并自刪除，用于反調(diào)試：

3.結(jié)束并卸載Raccine：

4.開啟Dnscache等服務(wù)，并結(jié)束安全軟件等服務(wù)，保障勒索順利進(jìn)行：

5.刪除磁盤卷影：

6.對(duì)于磁盤根目錄下的虛擬磁盤、備份等文件，直接刪除：

7.設(shè)置C、D、Z盤為完全訪問權(quán)限：

8.清空回收站，配置防火墻規(guī)則放通對(duì)共享文件的訪問：

9.使用Random生成隨機(jī)秘鑰，記為key_1，由于Random生成的為偽隨機(jī)數(shù)，種子為系統(tǒng)運(yùn)行時(shí)間，因此如果能夠計(jì)算出勒索時(shí)系統(tǒng)運(yùn)行時(shí)間，則可能暴破出秘鑰：

10.在病毒所在目錄生成如下txt文件，內(nèi)容為終端IP、勒索時(shí)間以及RSA加密并base64編碼的key_1：

11.將txt勒索信息寫入temp目錄：

在啟動(dòng)目錄創(chuàng)建快捷方式，用于打開txt勒索信息，并配置快捷鍵“Ctrl+Shift+X”：

12.加密如下后綴名的文件：

"dat","txt","jpeg","gif","jpg","png","php","cs","cpp","rar","zip","html","htm","xlsx","xls","avi","mp4","ppt","doc","docx","sxi","sxw","odt","hwp","tar","bz2","mkv","eml","msg","ost","pst","edb","sql","accdb","mdb","dbf","odb","myd","php","java","cpp","pas","asm","key","pfx","pem","p12","csr","gpg","aes","vsd","odg","raw","nef","svg","psd","vmx","vmdk","vdi","lay6","sqlite3","sqlitedb","java","class","mpeg","djvu","tiff","backup","pdf","cert","docm","xlsm","dwg","bak","qbw","nd","tlg","lgb","pptx","mov","xdw","ods","wav","mp3","aiff","flac","m4a","csv","sql","ora","mdf","ldf","ndf","dtsx","rdl","dim","mrimg","qbb","rtf","7z"

13.加密后綴為“.builder”:

14.獲取已準(zhǔn)備好且非CD的磁盤：

15.豁免如下目錄：

"program files",":\windows","perflogs","internet explorer", ":\programdata", "appdata",  "msocache","system volume information","boot","tor browser","mozilla","appdata",  "google chrome", "application data"

16.如果文件大小大于10M，則對(duì)每個(gè)文件使用RNGCryptoServiceProvider生成的真隨機(jī)數(shù)作為加密秘鑰，記為key_n，并使用RSA加密key_n：

17.如果文件大小小于10M，則都使用key_1作為秘鑰，因此如果暴破出key_1，則可以用于解密10M以下文件：

18.使用Salsa20算法加密文件：

19.將RSA加密并base64編碼的秘鑰以及標(biāo)志符“GotAllDone”寫入加密后的文件末尾：

20.加密完成后在桌面生成勒索信息文件：

21.勒索信息內(nèi)容如下：

22.勒索結(jié)束病毒文件自刪除：

基礎(chǔ)加固

深信服安全團(tuán)隊(duì)再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

1、及時(shí)給系統(tǒng)和應(yīng)用打補(bǔ)丁，修復(fù)常見高危漏洞；

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

3、不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件；

4、盡量關(guān)閉不必要的文件共享權(quán)限；

5、更改主機(jī)賬戶和數(shù)據(jù)庫密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃；

6、如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP功能，并盡量不要對(duì)外網(wǎng)映射RDP端口和數(shù)據(jù)庫端口。

到此，關(guān)于“如何理解Hospit勒索解密”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！