mwc,bb,盗梦空间-额头blog,每日最新思考

admin 5个月前 ( 06-01 01:57 ) 0条评论
摘要: 国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)...

*吴平月本文作者:熊猫正正,本文属 FreeBuf 原创奖赏方案,未经许可制止转载。

一、事情布景

国外安全研究员在5月21日在网上爆光了一款运用RIGEK缝隙运用东西包传达的新式勒索病毒。

如下所示:

这款勒索病毒相同修正了桌面的布景,同之前盛行的GandCrab和Sodinokibi勒索病毒相似,RIGEK缝隙东西包也经常被运用来传达各种勒索和挖矿病毒,之前已经有不少报导运用RIGEK缝隙东西包传达歹意软件的陈述,此次RIGEK被运用传达这款新式的勒索病毒,通过剖析这款勒索病毒避开了Russian等区域的主机,笔者剖析过很多的勒索病毒样本,不少新式的或盛行的勒索病毒都有此操作,猜想:是不是因为前几年杀毒软件的生意不好做,卡巴斯基的安全老毛子们都转搞黑产了?导致近几年做挖矿和勒索的黑产们越来越多,越来越盛行,本年针对企业的勒索病毒进犯也是越来越多,之前有报导称在第一季度针对企业的勒索病毒进犯增长了500%,勒索依然是黑产们来钱最快最暴利的手法之一,并且大部分企业中了勒索之后,都成婚铺床四句好话挑选交钱处理,有些大企业中了勒索,乃至不会揭露去找安全公司处理伊特艾方案,悄悄交钱解密,导致针对企业的勒索进犯越来越频频,每天都有新的勒索病毒或变种呈现……

mwc,bb,盗梦空间-脑门blog,每日最新考虑
mwc,bb,盗梦空间-脑门blog,每日最新考虑
平井絵里 侧入

样本下载地址:https://app.any.run/tasks无限之水晶无双/701839e5-1a81-47ab-98d2-0dd5ae14ae53/

有爱好的朋友能够下汇市争锋载样本进行剖析,剖析这款勒索病毒仍是很风趣的……笔者猜测立刻这款新式的勒索病毒就会在国内盛行……请各大安全厂商以及各大企业做好相应的应对防护办法!

二、样本简介

勒索病毒运转之后,如下所示:

勒索信息文本文件# DECRYPT MY FILES #.txt,如下所诸葛慎示欧豆豆什么意思:

勒索病毒加密文件,加密文件后缀名为四位大写字母,如下所示:

三、详细剖析

1.勒索病毒母体采用了高强度的混杂免杀技能,勒索病毒的中心mwc,bb,盗梦空间-脑门blog,每日最新考虑被一层“厚厚的”外壳维护,(详细的盯梢调试进程我就省掉了,有不会的能够私聊我),解密出勒索病毒中心代码,中心代码,如下所示:

2.获取操作系统语言版别段智红,假如美丽教师操作系统版别为419(LANG_RUSSIAN 俄语) 422(LANG_UKRAINIAN 乌克兰) 423(LANG_BELARUSIAN 白俄罗斯) 43F(LANG_KAZAK 哈萨克族)等区域,则不履行相应的勒索加密进程,退出程序,如下所示:

3.获取主机的CPUID,如下所示:

4.生成加密文件后的加密后缀,如下所示:

生成的加密后缀为:ELSH,如mwc,bb,盗梦空间-脑门blog,每日最新考虑下所示:

5.判别操作系统的版别,进程提权,如重生诛仙之青莲下所示贵妻糯糯啊:

然后创立线程,删去磁盘卷影,如下所示:

6.在%APPDATA%目录下生成加密的key文件encrypted_key.bin,如下所示:

生成Key文件的进程mwc,bb,盗梦空间-脑门blog,每日最新考虑,先解密出Base64硬编码的RSA公钥信息,如下所示:

然后导入RSA公钥,再加密生成的随机密钥,如下所示:

再运用Base64算法进行加密,如下所示:

再把Base64加密生成的密钥信息,写入到key文件中,如下所示:

生成的key文件,如下所示:

7.遍历同享目录文件,然后加密文件,如下所示:

8.遍历磁盘文件,然后加密文件,如下所示:

9.在每个目录下生成勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:mwc,bb,盗梦空间-脑门blog,每日最新考虑

10.遍历磁盘目录,假如目录中包括,如下字符串目录,则不进行加密,如下所示:

相应的目录字符串列表,如下所示:

:\\$Recycle.Bin

:\\ProgramData

:\\Users\\All Users

:\\Program Files

:\\Local Settings

:\\Windows

:\\Boot

:\\System Volume Information

:\mwc,bb,盗梦空间-脑门blog,每日最新考虑\Recovery

Ap师生年下pData

假如文件名中包括“加密后的文件后缀”或许包括“# DECRYPdfe008T MY FILES #”,则不进行加密,如下所示:

11.假如遍历到相应的文件符合要求,则加密文件,加密后的文件后缀名为之前生成的后缀名,如下所示:

12.生成勒索桌面布景,如下所示:

修正桌面布景,如下所示:

然后在TEMP目录下生成勒索信息桌面布景图片desk.bmp,写入相应的数据sr0wy,如下所示:

最终退出程序。

四、IOC MD5: 6D21C5C3BCFF6076179BCCD9EA6D1464

(在文章审阅期间,Emsisoft居然在5月23号放出来解密东西,Emsisoft之前也放出了不少的勒索解密东西,真是谋福全球,国内用户假如有中此勒索的,能够下载解密)

五、解密东西

Emsisoft releases a free decrypter for the GetCrypt Ransomware

下载地址:https://www.emsisoft.com/decrypter/getcrypt

通过笔者测验,能够解密,如下所示:

*本文作者:熊猫正正两小无猜的可持续发展陈述,本文属 FreeBuf 原创奖赏方案,未经许可制止转载。

乡韵李东
声明:该文观念仅代汇众益智培训真的假的表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
文章版权及转载声明:

作者:admin本文地址:http://www.etoudiblog.com/articles/1613.html发布于 5个月前 ( 06-01 01:57 )
文章转载或复制请以超链接形式并注明出处额头blog,每日最新思考