您好,登錄后才能下訂單哦!
本篇文章為大家展示了KrakenCryptor2.0.7勒索變種的示例分析,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細(xì)介紹希望你能有所收獲。
深信服安全團(tuán)隊在分析安全云腦全網(wǎng)威脅數(shù)據(jù)時,發(fā)現(xiàn)了一個在國內(nèi)出現(xiàn)的新勒索家族KrakenCryptor,發(fā)現(xiàn)版本為KrakenCryptor2.0.7。該版本為目前發(fā)現(xiàn)的最新版本,但陸陸續(xù)續(xù)有客戶通過安全云腦對該樣本進(jìn)行檢測。該勒索軟件最新版本使用RSA+AES加密算法,加密后綴也隨機生成。
1、樣本是用.net框架編寫的,并且樣本經(jīng)過混淆,如圖所示:
2、將樣本去混淆,便開始對它的研究。跟一般勒索軟件類似,該版本也會給受害者設(shè)定一個繳納贖金的時限,超過一個周以后就會漲價。
如圖所示,這是給受害者的收費計時,不過并未在圖形界面上展示,且這個一周漲價算的是自然周,而不是根據(jù)受害者被加密以后開始算。
繳費(勒索)倒計時
3、樣本會首先解密出一些關(guān)于加密的信息,比如,家族、版本、技術(shù)支持郵箱等。
家族版本號
加密的密鑰長度信息
KrakenCryptor支持加密的文件后綴,一共有422種。下圖為部分文件后綴。
支持加密的文件后綴
4、樣本會通過https://ipinfo.io網(wǎng)站來確認(rèn)受害者IP的位置:
收集受害者IP的物理位置
5、收集受害者系統(tǒng)版本、mac地址、本地磁盤信息,并生成RSA和AES密鑰:
生成加密密鑰
6、獲取受害者的默認(rèn)輸入法,對特定默認(rèn)輸入法進(jìn)行免疫(不加密)。
獲取默認(rèn)輸入法
免疫輸入法
獲取系統(tǒng)語言,對特定語言進(jìn)行免疫。目前免疫的國家有:
亞美尼亞(AM),阿塞拜疆(AZ),白俄羅斯(BY),愛沙尼亞(EE),格魯吉亞(GE),伊朗(IR),吉爾吉斯坦(KG),立陶宛( LT),摩爾多瓦(MD),俄羅斯(RU),塔吉克斯坦(TJ),烏克蘭(UA) , 烏茲別克斯坦(UZ) , 土庫曼斯坦(TM),敘利亞(SY),拉脫維亞(LV),哈薩克斯坦(KZ)。
免疫國家
7、注冊表項,新增一個WordLoad的鍵,用來作為加密記錄。如果Wordload的值為1,就退出。
注冊表項
8、如果不是在免疫國家列表當(dāng)中,那么接下來就要走入加密流程了。樣本會向https://2no.co/2SVJa5這個URL發(fā)送自己的IP物理地址。由于這個URL是個短連接,還原以后是https://www.bleepingcomputer.com/,bleepingcomputer是一個提供安全技術(shù)和信息的網(wǎng)站。
9、生成256位AES密鑰,并使用CBC模式加密文件。
10、加密后的文件會直接將原文件覆蓋,然后再重命名。
加密原文件后覆蓋寫入
重命名加密后的文件
11、加密完以后樣本還會自刪除:
12、最后更換桌面背景給受害者進(jìn)行提示:
針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進(jìn)行斷網(wǎng)隔離。
深信服為廣大用戶免費提供查殺工具,可下載如下工具,進(jìn)行檢測查殺:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip。
上述內(nèi)容就是KrakenCryptor2.0.7勒索變種的示例分析,你們學(xué)到知識或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識儲備,歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。