本篇文章2012字,读完约5分钟
原标题:新型恐吓病毒只是炫技,金钱和跟风“wannaren”的来源:天鹅绒的安全性
感谢天鹅绒的安全送达
最近,很多网民受到火绒反馈的恐吓病毒攻击,攻击者通过后门病毒向顾客移植了恐吓病毒。 通过检查和分解样本,该恐吓病毒是为语言编写的,在加密文档后添加文字“_hd”,与以往常见的恐吓病毒不同,该恐吓病毒没有留下联系方法和恐吓赎金的消息,但可逆的解密阿尔
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/sdr245lma6txu5k0bp2qd9ns0d7oya.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
最终,天鹅绒技术人员根据其中的解密算法和线索成功地破译了恐吓病毒。
工程师在追踪和分解后门病毒的同时,升级产品,增加防御规则,切断病毒的传播途径(详细情况请参照报告书“黑客在游戏插件中植入后门病毒弹窗,呼吁“病毒对策的浪费”) 发布适当的解密工具( down5. huo Rong/ransom/hdlockerdecryptor.exe ),同时分解和平滑地解密这种威胁病毒。 羊绒软件(个人版、公司版)现在可以监听和调查上述后门和恐吓病毒。
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/ruqfh0v7lqzf1zcnizhpw3ljklpwy8.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
解密工具图
客户还说,病毒作者曾用qq小号( 118****046 )联系他,将恐吓病毒发送到火绒论坛寻求帮助。 从中文聊天记录、弹窗信息、易语言制作病毒等特征来看,基本上肯定是国民在做。 不是为了破译赎金,只是为了向顾客和安全制造商炫耀技术,挑衅。 另外,不排除该病毒的作者4月初流行的、用同一语言写的威胁病毒“wannaren”的嫌疑。
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/bmpgnynmlkvp0mnktdj4y1c6vhr80b.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
实际上,因为语言的掌握容易,适合国人的语言环境,所以在国内的传达很广,采用者很多。 结果,使用语言制作恐吓病毒,攻击顾客的例子开始增加,也出现了本文所述的“只是为了炫耀,而不是为了金钱”的恐吓例子。 对此,天鹅绒也继续关注这种恐吓病毒和相关例子,立即完善完全的防御规则,确保客户的安全。 如果遇到上述恐吓病毒攻击,请随时与我联系。
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/2p5v1po5kx9btsyp5m35lt8mz6aqhb.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
提醒很多网民,对于大部分恐吓病毒,除非作者积极提供私钥(例如“wannaren”恐吓病毒),否则无法解密。 为了避免被威胁病毒加密造成的损失,大家要好好备份重要资料,保持良好的互联网习性,不要随便安装非正式软件,不要点击陌生的邮件和附件、链接,系统
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/2xf4qq7zymhog4t2hhklmkmefjqvj3.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
附件:【分解报告】
详细地分解
在上一篇“黑客用游戏插件填充后门病毒弹窗,喊着“病毒对策的浪费”的报告书中,黑客曾提到过投入后门病毒,威胁病毒,加密顾客数据文件。 更奇怪的是,病毒作者留下了“我威胁,求反算法”的字符串。 然后,在尝试解读的过程中,发现在用于解读的8字节随机数据中,病毒作者有意地只将其中的4字节记录在有私钥的文件中,剩下的4字节需要用暴力解读的方法获得。 相关数据,如下图所示:
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/r4t9sf00jzs9glabpdz6nde14w7fbd.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
相关数据
该恐吓病毒被释放到后门病毒所在目录中的名为trae.exe的文件中,执行恐吓病毒后,用des算法对数据文件进行加密,随机生成的des密钥通过ecc (椭圆曲线加密算法 加密的数据文件目录,如下图所示:
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/qqc5b51h1zchogb1c4dm774vspggyp.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
对于加密文件目录。
勒索证明书
与以往的恐吓病毒不同,这种恐吓病毒在加密顾客文件后没有留下支付赎金的支付地址。 如果客户没有安装安全软件,病毒创建者将积极建议客户向安全制造商进行解密.。 然后,有一段时间,我们连续收到了与这种恐吓病毒相关的多个顾客问题。 与客户反馈相关的屏幕快照,如下图所示:
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/a26jxwyrk52uyf3zk7uym8prewyf4l.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
论坛顾客反馈新闻。
客户反馈聊天记录。
威胁病毒会随机生成ecc私钥和公钥。 然后,病毒代码连接ecc私钥和ecc私钥的crc32,对混合顺序(基于8字节随机数据的md5值)和异或(异或密钥随机)进行加密,最终写入“ecc加密. LG”文件 客户机文件数据用des算法加密,加密时des密钥随机,各文件对应的des密钥不同,des密钥用ecc公钥加密后存储在被加密文件中。 威胁加密过程,如下图所示。
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/d0tnvbnbgzyl0f8zifxksx5esga3qq.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
加密流程图。
文件加密完成后,病毒程序将标签头、ecc加密的des私钥新闻和加密的文件新闻结合形成加密文件,相关的文件拷贝新闻如下图所示。
加密的文件结构
锯齿用的md5是根据8字节随机数据生成的,如下图所示,生成锯齿用的md5相关代码。
生成用于混合的md5
取得必要的md5值后,病毒混合解决以前得到的私钥和在私钥后面结合的私钥crc32值。 相关代码如下图所示。
混合私钥相关代码
混合顺序后的秘密密钥数据与之前生成的混合顺序md5随机数据中的3字节数据拼接,然后,将其中的1字节作为异或密钥,对秘密密钥数据进行异或加密。 最后,将异或密钥与加密的数据连接后,写入威胁证明书。 相关代码,如下图所示:
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/z7qva06n86zl716q7qxe1unfbb9lwl.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
与异或加密和数据拼接相关联的代码
ecc私钥加密落地后,病毒开始加密文件。 病毒程序首先评估文件新闻,如果文件后缀是“exe”、“dll”、“sys”、“_hd”样式,或者文件大小大于0x2dc6c0字节,则跳过该文件,不加密。 否则,请使用zlib算法压缩文档副本,然后进行des加密。 相关代码如下图所示。
![【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"](/uploads/diyimg/0top9d1uy4mpvjvmiuidmjd4w4tafs.png "【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"")
比较文件扩展名和文件大小
压缩文件并加密。
二、附录
样品hash
标题:【要闻】新型勒索病毒只炫技不要钱 或跟风“WannaRen"
地址:http://www.tjsdzgyxh.com/tyxw/21232.html