您好、欢迎来到现金彩票网!
当前位置:棋牌游戏 > 文件目录 >

可以被解密的CryptON勒索病毒

发布时间:2019-06-07 20:08 来源:未知 编辑:admin

  CryptON勒索病毒最新变种使用3DES算法和RC4算法加密文件,密钥存储在本地,因此可以解密。该病毒在桌面与所有文件目录中留下勒索文本,要求用户邮箱联系病毒作者提供赎金解密。

  CryptON勒索勒索病毒,也常被称作X3M、Nemesis、Cry3勒索,最早于2017年出现。近日又捕获到CryptON勒索病毒新变种,此版本会将被加密文件名追加上.firex3m后缀。格式为:原文件名.id-一串数字_[].firex3m。此版本变种使用3DES算法和RC4算法加密文件,密钥存储在本地,因此可以解密。

  此病毒通常会通过RDP弱口令植入,我们发现了攻击者遗留的进程结束工具和密码抓取工具,攻击者首先通过RDP弱口令暴力破解一台机器,然后远程控制此计算机,使用进程结束工具结束本机的安全软件,然后使用密码抓取工具,抓取更多密码,尝试攻击其他机器。

  病毒在桌面与所有文件目录中留下勒索文本,要求用户邮箱联系病毒作者提供赎金解密。目前,瑞星公司已开发出解密工具,如果用户电脑中的文件已被“CryptON”病毒加密,可尝试下载解密。(下载地址:)

  病毒为了防止自身被静态分析,将所有要使用到的API都在运行时动态加载,并且在需要时才调用其解密函数解密字符串,该解密函数使用凯撒轮盘的方式解密字符串信息。

  获取系统语言,与列表中的进行对比,如果是以下指定语言的操作系统,将不会受到加密攻击。推测病毒作者通过该种方式避免所在国家的法律。

  解密时排除指定文件目录与部分后缀名,防止加密时操作系统被破坏导致无法继续加密。

  创建多达50个的加密线程,为其指定不同的文件路径,同时工作以便快速加密所有文件路径。

  获取本机部分信息(主机名、用户名、磁盘卷信息), 并且通过这些信息计算生成一个唯一的用户ID。

  生成随机密钥,使用Random函数生成4组伪随机数,作为后续加密算法的提供密钥。

  在用户临时目录下创建一个以用户ID为名称的空文件,作为病毒对计算机感染的一个检查标记。以此防止被加密过的主机,重复运行数据被二次加密。

  根据病毒程序计算的唯一ID来填充被病毒加密后文件的后缀格式,目的也是便于病毒作者清晰区分不同的被加密用户。

  获取操作系统版本、系统类型、并将密钥等信息一并组合写入到桌面的temp000000.txt文件中。并立即通过NotePad记事本程序打开密temp000000.txt文件。

  遍历所有网络资源以及本地磁盘目录,在所有目录下创建勒索文本。并记录所有的文件目录以便于后续50个加密线程能够同时进行加密。

  该版本加密时会判断文件大小,对于大于0xB400字节的文件, 仅加密0xB400字节。 小于0xB400则全部加密。

  使用3DES算法进行首次数据加密,先前通过Random随机数生成的KEY1前16字节做为3DES的密钥key,KEY2的前8字节做为3DES的初始向量IV。

  进过3DES加密后的数据再次使用RC4进行二次加密。RC4所使用的密钥是由Random随机数生成的KEY4,密钥大小为0x100字节。

  最后0x4字节则是根据用户PC信息计算所得的唯一ID与key进行异或所得标识。

  病毒程序在完成全盘加密的操作,也就是所有的线程全部结束加密工作后。调用命令行执行自删除操作。

http://neillarcherroan.com/wenjianmulu/115.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有