“勒索病毒”Ransom/Crowti详细区分报告
发表时间:2018-08-05 来源:学卫网整理相关软件相关文章人气:
})等,并请求下载RSA公钥文件。这段数会通过一段自定义加密算法加密,并通过POST方法发送到C&C服务器。图16是截取到的该病毒发送的请求数据:
图16、加密数据
图17、请求RSA公钥和加密流程
如图17所示,请求RSA公钥文件是整个病毒流程的第一步。因为每个文件在加密之前都会调用Windows API CryptGentKey生成一个全新的AES256密钥(图18),AES256密钥用于加密用户数据文件,下载下来的RSA公钥用来加密AES256密钥,公钥只会请求一次,从始至终不会改变,但每个被加密文件所使用的AES256密钥均不相同。这两组密钥最终都会保存到被加密的文件中,只是RSA公钥以MD5的形式保存于文件头(图19),而AES256密钥被RSA加密存放在后面。
恢复用户文件时,可以通过被加密文件头得到RSA公钥MD5,通过查询匹配得到对应解密私钥,根据RSA私钥解密AES256密钥,再根据AES256密钥还原用户数据文件。但由于RSA私钥保存在服务上,受害者的机器上得不到RSA私钥,没有RSA私钥就无法完成AES256密钥的解密,进而无法得到AES256密钥来还原文件。所以,除非保存RSA公钥、私钥的服务器被攻破,否则被加密的文件只能由攻击者解密。
图18、密钥生成及加密流程
图19、不同的被加密文件具有相同RSA公钥文件头
虽然Ransom/Crowti在加密用户文件上考虑的非常缜密,但是如果公钥服务器挂掉,或者我们因为某些特殊原因不能连接到国外网站,Ransom/Crowti就下载不到RSA公钥,只会不断尝试联网下载,从而使受害者免于被勒索。
成功加密后的文件扩展名是随机的(如图20所示),加密完成后会弹出提示(如图1),指导用户如何付费解锁被加密的文件。
图20、加密后文件名随机
四、安全建议
由于“勒索病毒”均采用高强度非对称加密算法对文件进行加密,且在被加密的文件中并不存储解密密钥,所以如果文件被“勒索病毒”加密,还原的可能性非常低。所以,对于“勒索病毒”应采取预防的策略,我们建议:
1) 安装合格的安全软件,开启自动更新,保证防护处于打开状态;
2) 及时给操作系统和流行软件打补丁;
3) 不要点开来源不明的邮件附件,条件允许的话可以交给安全厂商分析附件内容;
