AI+安全
數(shù)據(jù)安全
數(shù)據(jù)基礎(chǔ)設(shè)施
態(tài)勢感知
云安全
基礎(chǔ)安全
終端安全
商用密碼
軟件供應(yīng)鏈安全
網(wǎng)絡(luò)空間靶場
工業(yè)互聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全
安全托管服務(wù)
運營管理服務(wù)
公司
「黑白叢林」“閻羅王”襲擊全球,安恒信息發(fā)布解密工具
黑白叢林
安恒信息「黑白叢林」專欄,為提升網(wǎng)絡(luò)安全攻防認(rèn)知而設(shè),希望讀者從中受益。
近日,一種命名為“閻羅王”的勒索病毒,在全球范圍內(nèi)掀起熱議,該團(tuán)伙已利用“閻羅王”在美國、巴西、土耳其等國家發(fā)起大規(guī)模的勒索攻擊,并且此團(tuán)伙極其囂張地警告受害者不要聯(lián)系執(zhí)法部門和勒索病毒“中介”,如果不遵守約定還將對企業(yè)進(jìn)行DDoS攻擊甚至刪除數(shù)據(jù)。安恒信息安全專家團(tuán)隊,針對“閻羅王”的攻擊原理和加密過程進(jìn)行了詳細(xì)的還原分析,提出了有效的解密方法。文末可以免費下載專業(yè)解密工具!
“閻羅王”勒索信
“閻羅王”運行加密過程分析
1.樣本運行后,首先判斷參數(shù)。樣本所支持的參數(shù)如下:
??-p/-path/--path:指定要加密的文件路徑
??-pass/--pass:樣本運行需要指定密鑰,值為D86BDXL9N3H
??-h/--help:顯示參數(shù)格式
2.樣本會停止進(jìn)程veeam和sql
3.停止數(shù)據(jù)庫、郵件、瀏覽器等相關(guān)的服務(wù),并終止相關(guān)進(jìn)程,從而釋放這些服務(wù)所占用的文件,方便對這些文件進(jìn)行加密:
4.樣本內(nèi)置了一個列表,加密過程中會跳過列表中的文件類型:
??.exe
??.dll
??.conf
??.a
??.lib
??.bat
??.ps
??.msi
? .cfg
??.reg
??.sys
??.lnk
??.obj
??.ini
??.yanluowang
5.樣本加密過程中會跳過如下路徑:
??.
??..
??PROGRA~1
??PROGRA~1
??PROGRA~1
??SYSTEM~1
??README.txt
??Windows
??WINDOWS
6.樣本使用Sosemanuk算法對文件進(jìn)行加密。首先會調(diào)用CryptGenRandom生成加密所需的IV:
7.調(diào)用RC4算法,解密出RSA密鑰,RC4密鑰為RSCNFZJCXGCGF8Q6TOY7IKPE9J3PO6DAPGZFKLHARGXW:
??解密出的RSA密鑰:
8.使用RSA-1024密鑰,加密生成的IV:
9.以3GB為分界線,對于不同大小的文件,采用不同的邏輯進(jìn)行加密:
10.對小于3GB的文件,完整加密:
11.對大于3GB的文件,每200MB加密5MB:
12.對加密后的文件,添加后綴“yanluowang”:
13.加密后,在每個被加密的文件夾下,釋放文件README.txt作為勒索信,內(nèi)容如下:
二、“閻羅王”解密原理分析
樣本使用Sosemanuk流對稱加密算法進(jìn)行加密,算法利用一個IV,生成一個密鑰流,然后使用密鑰流與明文進(jìn)行xor運算進(jìn)行加密。通常情況下,每個文件的IV應(yīng)該不同,從而保證密鑰流不同,但是該樣本所有文件使用的IV都相同,因此密鑰流都相同,因此只要用任意的明文與密文做xor運算,就可以拿到密鑰流。密鑰流長度0x400,之后會循環(huán)使用。
本次安恒信息安全專家團(tuán)隊成功破解了“閻羅王”勒索病毒的秘鑰,但是并不代表所有勒索病毒都可以解密,相反絕大部分的勒索病毒是很難被解密的,對于廣大企業(yè)用戶來說,提高終端的勒索防護(hù)能力才是保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)不受勒索病毒危害的“最優(yōu)解”。
三、針對勒索病毒攻擊的防護(hù)性措施
安恒信息終端安全專家通過分析勒索病毒的攻擊流程,將勒索病毒的攻擊分為三個階段,并提出針對性防護(hù)措施,有效防止攻擊者向主機(jī)植入勒索病毒,為用戶資產(chǎn)提供全面的防勒索能力,真正做到抵御勒索病毒“于千里之外”。
01
信息收集、尋找攻擊點
安恒EDR具備防端口掃描功能,實時檢查入站連接并阻斷對本機(jī)端口的惡意探測, 防止攻擊者進(jìn)行掃描和嗅探,導(dǎo)致敏感信息泄露。并且并利用勒索風(fēng)險專項評估能力,對系統(tǒng)的弱口令、威脅文件、風(fēng)險賬號、錯誤配置等進(jìn)行專業(yè)評估、針對系統(tǒng)的薄弱點進(jìn)行快速修復(fù),不給攻擊者“可乘之機(jī)”。
02
入侵主機(jī) 持久化攻擊
通過防單機(jī)擴(kuò)展(針對本機(jī)的擴(kuò)展行為進(jìn)行監(jiān)測,防止提權(quán)行為)、防遠(yuǎn)控持久化(對失陷后主機(jī)遠(yuǎn)控持久化行為進(jìn)行檢測,并可阻斷遠(yuǎn)控)兩大防御能力,防止攻擊者入侵主機(jī),有效進(jìn)行事前防御。
03
橫向滲透 擴(kuò)大攻擊面
通過防內(nèi)網(wǎng)探測功能對內(nèi)網(wǎng)的惡意攻擊行為進(jìn)行識別,阻斷攻擊者對內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務(wù)隔離的策略劃分特定的網(wǎng)絡(luò)域, 防止威脅在內(nèi)網(wǎng)擴(kuò)散;搭載一鍵關(guān)閉高危端口,一鍵封鎖威脅IP等應(yīng)急策略,防止“威脅串網(wǎng)”維持整個網(wǎng)絡(luò)環(huán)境穩(wěn)定。有效切斷攻擊者攻擊途徑,阻止攻擊者進(jìn)行橫向滲透。
除了做好事前防御外,安恒EDR還具備專利級的勒索病毒防護(hù)引擎:
1
能及時發(fā)現(xiàn)并阻斷勒索病毒的啟動,準(zhǔn)確高效地實時保護(hù)用戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)及服務(wù)。
2
可添加訪問控制策略,對重要文件或目錄進(jìn)行訪問權(quán)限控制,僅允許配置的例外進(jìn)程操作,從根本上杜絕勒索病毒,保護(hù)業(yè)務(wù)數(shù)據(jù)安全。
面對復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢,勒索病毒的變種將會越來越快,攻擊手段會變得更加多樣化;安恒信息將持續(xù)發(fā)揮技術(shù)上的優(yōu)勢,打造更專業(yè)、更強(qiáng)大的終端安全防護(hù)產(chǎn)品與解決方案,守護(hù)千萬企業(yè)與用戶的終端安全。
掃碼立即獲取
“閻羅王”勒索病毒
專業(yè)解密工具
相關(guān)推薦
- 發(fā)布兩款產(chǎn)品!安恒信息亮相“第二屆海光安全技術(shù)高峰論壇”
- 數(shù)據(jù)安全與數(shù)據(jù)要素治理研討會在安恒信息舉行
- 官宣|賽事數(shù)字資產(chǎn)守門人·安恒EDR大運會專版發(fā)布
- 安恒信息與電子科大網(wǎng)絡(luò)空間安全研究院達(dá)成戰(zhàn)略合作
- 因大運結(jié)緣 以城市共生|成都大運會官方贊助商安恒信息升級發(fā)布會暨西部網(wǎng)絡(luò)安全總部啟動儀式成功舉辦
- 大運會網(wǎng)絡(luò)安全衛(wèi)士|500名“全球網(wǎng)絡(luò)安全志愿者”獲聘任
- 案例入選!安恒信息出席2023中國數(shù)實融合50人論壇暨年度報告發(fā)布會
