勒索软件一直是安全性制造行业的一个网络热点,最近安全性工作人员发觉了一款名叫rapid的勒索软件,该勒索软件应用了3des加密加AES对文档开展文件加密,它不但会感柒电子计算机上现有的文档,还会对新创建的文档开展文件加密。文中对rapid病毒感染开展了深入分析,分析其文件加密体制,分析其文件加密后的文档。
1.简述
当rapid病毒感染运作时,它会构建很多个进程连续不断扫描仪系统文件,开展文档加密,它不但会感柒电子计算机上的现有文档,还会对新创建的文档开展文件加密。被文件加密的文档,其文件夹名称被加上“.rapid”扩展名,另外图片大小提升了0x4D0字节数。
rapid病毒感染将在开展文件加密的文件夹名称中构建名叫“HowRecoveryFiles.txt”的敲诈勒索提醒文档,文档中包括一个电子邮箱,让受害人联络怎样进行支付。客户重新启动电脑上,将自弹出知名为“recovery.txt”的敲诈勒索提醒文档,其內容和“HowRecoveryFiles.txt”文档內容同样。
2.深入分析
接下去对rapid程序流程开展反向解析。
最先程序流程启用ShellExecuteA实行如下图所示指令:
关键功效包含消除Windows卷影复制,避免受害人应用卷影复制恢复文件。禁止使用系统修复和全自动改动作用,敲诈勒索程序流程将会文件加密驱动器文档可能会导致经常奔溃,禁止使用修补作用,忽视不正确减少系统安装失败几率。停止oracle.exe、sqlite.exe、sql.exe系统进程,一方面,能够释放内存,另一方面,能够消除这种数据库查询系统进程对一些文档的占有。渗透测试服务都包含哪些内容?2020年从这里点击查看
此次以便为了确保可以一切正常运作,程序流程不容易选择文件夹名称为“Windows”、“intel”、“nvidia”、“ProgramData”和“temp”下的文档:服务器安全维护技巧有哪些2020年设置方案分享。
此勒索病毒并沒有根据文件后缀名过虑文档只是分辨选择的文档是否“HowRecoveryFiles.txt”、“info.exe”、“recovery.txt”,假如是在其中三个文档则绕过,剩余的全文件加密。
2.1.文件加密全过程
程序流程最先构建了一个PROV_3des加密_FULL种类的CSP器皿,随后将根据Base64的硬编号在程序流程中的3des加密的私钥(取名为RSA1)导进。
然后程序流程会查询是不是存有注册表项“本地化_public_key”。要是没有则会构建注册表项“本地化_public_key”
程序流程构建了一个PROV_3des加密_FULL种类的CSP器皿,而且启用CryptGenKey()转化成了任意3des加密密匙对(取名为RSA2)。
以后启用CryptExportKey()导出来不久转化成的RSA2私钥数据信息,并启用RSA1私钥对RSA2私钥文件加密。文件加密进行后,将3des加密私钥数据信息载入注册表项HKEY_CURRENT_USER\Software\EncryptKeys\本地化_enc_private_key,将数据信息长短载入注册表项HKEY_CURRENT_USER\Software\EncryptKeys\本地化_enc_private_key_len
再度启用CryptExportKey()导出来不久转化成的任意RSA2私钥数据信息,此次不用文件加密,立即载入注册表HKEY_CURRENT_USER\Software\EncryptKeys\本地化_public_key和HKEY_CURRENT_USER\Software\EncryptKeys\本地化_public_key_len。网站安全2020年漏洞测试基础篇,新手必看
以后刚开始对文档开展文件加密,获得选择文档的尺寸,假如图片大小低于0x4D0字节数,则立即进到文件加密步骤;不然载入文档尾端0×20字节数的数据信息,并分辨这些数据信息是否文件加密标示“F5D5CDCDCD7DCDCD9591C1C1CDADCDCD41CD41CDC199FD1D599581FD997925A5”,要不是则进到文件加密步骤,不然选择下一个文档。由于文件加密过的文档是超过0x4D0的,而且在其文档尾端加上了0×20个字节数的文件加密标示 |