ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → 解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法

解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法

时间:2019-01-18 23:10:36人气:作者:本站作者我要评论

最近360互联网安全中心监测到一款属于GarrantyDecrypt勒索病毒的新型变种在国内传播,这款勒索病毒通过RSA结合salsa20对文件进行加密,而且被加密的文件后缀都会被改成NOSTRO,加密文件实行“一次一密”,每次钥匙用完就会销毁。该病毒是目前最恶心的勒索病毒之一,它不区分文件类型,几乎加密全部文件。根据360互联网安全监控中心研究,该勒索病毒主要是通过爆破远程桌面弱口令,登录远程后手动投毒进行传播。以下我们一起来看看这款病毒的运行方式及其防御方法。
首先,样本分析
前期准备
该勒索病毒在加密文件之前,会先做下面4项准备:
判断当前进程权限,如果权限较低,则重新提权启动。
判断当前系统语言环境,避开斯拉夫语系的环境。这一点和之前很多勒索病毒一样(例如Hermes、Locky等勒索病毒),都避开了俄罗斯、乌克兰、哈萨克斯坦几个地区。
删除系统卷影,破坏Windows系统的系统恢复功能。
结束系统中运行的一些挖矿程序,由这点也可以看出:勒索病毒和挖矿攻击的目标经常是重叠的。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
密钥处理
该勒索病毒采用的微软提供的Crypto系列函数,随机生成一对当前客户端使用的RSA密钥对,在获取到该密钥对后,立即销毁了内存中密钥对。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
RSA密钥对
在获取到RSA密钥对后,又对私钥进行了一些处理,之后使用样本内嵌的作者的RSA公钥对这个处理后的密钥进行了加密,最后连同生成的RSA公钥一并写入到%appdata%/_uninstalling_.png文件中。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
文件加密
在处理好密钥数据后,该勒索病毒创建了两个线程来加密文件:其中一个线程用来遍历网络资源文件,而另一个线程用来遍历本地文件。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
加密文件线程
常见的勒索病毒,通常会指定一个文件类型的范围,只对范围内的文件进行加密。而该勒索病毒则没有做这个判断——它会将所有类型的普通文件都进行加密。排除列表只包括5个目录和病毒自己产生的一些文件,同时还排除了一些被占用的和系统属性的文件:
// Windows
// Program Files
// Program Files(x86)
// $Recycle.bin
// System Volume Information
.NOSTRO
#RECOVERY_FILES#.txt
_uninstalling_.png
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
排除在外的目录和文件
该勒索病毒制造者在加密文件这块做的也非常用心,每次加密一个文件之前,都会使用CryptGenRandom接口生成一个随机数做为密钥,这样就保证了一个文件一个密钥。同时在加密文件后该勒索病毒会立即销毁内存中的密钥信息,避免用户在中毒后通过从内存中dump出密钥信息来解密文件。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
获取随机数
此外,在这一阶段,勒索病毒还会检查被加密文件的扩展名,如果扩展名在指定的列表范围内,则会对其进行全文加密,否则在后续的加密过程中只会进行一轮的加密循环——即只加密文件的头部1024字节内容。该逻辑我们认为是作者希望在保证勒索病毒破坏力的前提下,尽可能的对加密速度进行优化,这一点在文件加密算法的选择上也得到了印证。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
判断文件是否需要被全文加密
而当前,该勒索病毒所定义的“需要被全文加密”的文件扩展名,则仅有“.txt”一个。即,只有.txt文件需要被全文加密,其他扩展名的文件则均只加密前1024个字节的内容:
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
需要被全文加密的文件扩展名列表
该勒索病毒在加密文件时,是用CryptGenRandom函数产生的随机数作为salsa20加密算法的密钥来加密文件。并在加密完文件后,将0xD3ADBE3F标记和被用RSA加密后的文件加密密钥添加到被加密文件的末尾。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
加密文件
以下是被加密文件末尾的格式。有4个字节是写入的标记0xD3ADBE3F,最末尾的48个字节是写入的被RSA加密的当前文件的加密密钥。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
被加密文件格式
收尾
在完成一个文件夹的加密之后,会在这个文件夹下创建#RECOVERY_FILES#.txt文件,留下勒索信息,要求用户联系对方。
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法
在当今互联网时代,针对服务器的勒索病毒攻击依然是主流方向,无论是企业还是个人都应当加强自身的信息安全管理能力,尤其是弱口令、漏洞、文件共享及远程桌面管理等。面对勒索病毒的威胁,在此给大家一些建议:
多台机器,不要使用相同的账号和口令
登录口令要有足够的长度和复杂性,并定期更换登录口令
重要资料的共享文件夹应设置访问权限控制,并进行定期备份
定期检测系统和软件中的安全漏洞,及时打上补丁。
定期到服务器检查是否存在异常。查看范围包括:
是否有新增账户
Guest是否被启用
Windows系统日志是否存在异常
杀毒软件是否存在异常拦截情况
解密:GarrantyDecrypt勒索病毒最新变种NOSTRO及防御方法

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网