KrakenCryptor2.0.7勒索變種的示例分析

本篇文章為大家展示了KrakenCryptor2.0.7勒索變種的示例分析，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

前言

深信服安全團(tuán)隊在分析安全云腦全網(wǎng)威脅數(shù)據(jù)時，發(fā)現(xiàn)了一個在國內(nèi)出現(xiàn)的新勒索家族KrakenCryptor，發(fā)現(xiàn)版本為KrakenCryptor2.0.7。該版本為目前發(fā)現(xiàn)的最新版本，但陸陸續(xù)續(xù)有客戶通過安全云腦對該樣本進(jìn)行檢測。該勒索軟件最新版本使用RSA+AES加密算法，加密后綴也隨機生成。

詳細(xì)分析

1、樣本是用.net框架編寫的，并且樣本經(jīng)過混淆，如圖所示：

2、將樣本去混淆，便開始對它的研究。跟一般勒索軟件類似，該版本也會給受害者設(shè)定一個繳納贖金的時限，超過一個周以后就會漲價。

如圖所示，這是給受害者的收費計時，不過并未在圖形界面上展示，且這個一周漲價算的是自然周，而不是根據(jù)受害者被加密以后開始算。

繳費（勒索）倒計時

3、樣本會首先解密出一些關(guān)于加密的信息，比如，家族、版本、技術(shù)支持郵箱等。

家族版本號

加密的密鑰長度信息

KrakenCryptor支持加密的文件后綴，一共有422種。下圖為部分文件后綴。

支持加密的文件后綴

4、樣本會通過https://ipinfo.io網(wǎng)站來確認(rèn)受害者IP的位置：

收集受害者IP的物理位置

5、收集受害者系統(tǒng)版本、mac地址、本地磁盤信息，并生成RSA和AES密鑰：

生成加密密鑰

6、獲取受害者的默認(rèn)輸入法，對特定默認(rèn)輸入法進(jìn)行免疫（不加密）。

獲取默認(rèn)輸入法

免疫輸入法

獲取系統(tǒng)語言，對特定語言進(jìn)行免疫。目前免疫的國家有：

亞美尼亞（AM），阿塞拜疆（AZ），白俄羅斯（BY），愛沙尼亞（EE），格魯吉亞（GE），伊朗（IR），吉爾吉斯坦（KG），立陶宛（ LT），摩爾多瓦（MD），俄羅斯（RU），塔吉克斯坦（TJ），烏克蘭（UA） ， 烏茲別克斯坦（UZ） ， 土庫曼斯坦(TM)，敘利亞(SY)，拉脫維亞(LV)，哈薩克斯坦（KZ）。

免疫國家

7、注冊表項，新增一個WordLoad的鍵，用來作為加密記錄。如果Wordload的值為1，就退出。

注冊表項

8、如果不是在免疫國家列表當(dāng)中，那么接下來就要走入加密流程了。樣本會向https://2no.co/2SVJa5這個URL發(fā)送自己的IP物理地址。由于這個URL是個短連接，還原以后是https://www.bleepingcomputer.com/，bleepingcomputer是一個提供安全技術(shù)和信息的網(wǎng)站。

9、生成256位AES密鑰，并使用CBC模式加密文件。

10、加密后的文件會直接將原文件覆蓋，然后再重命名。

加密原文件后覆蓋寫入

重命名加密后的文件

11、加密完以后樣本還會自刪除：

12、最后更換桌面背景給受害者進(jìn)行提示：

解決方案

針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進(jìn)行斷網(wǎng)隔離。

深信服為廣大用戶免費提供查殺工具，可下載如下工具，進(jìn)行檢測查殺：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip。

上述內(nèi)容就是KrakenCryptor2.0.7勒索變種的示例分析，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。