「黑白丛林」“阎罗王”袭击全球,安恒信息发布解密工具
黑白丛林
安恒信息「黑白丛林」专栏,为提升网络安全攻防认知而设,希望读者从中受益。
近日,一种命名为“阎罗王”的勒索病毒,在全球范围内掀起热议,该团伙已利用“阎罗王”在美国、巴西、土耳其等国家发起大规模的勒索攻击,并且此团伙极其嚣张地警告受害者不要联系执法部门和勒索病毒“中介”,如果不遵守约定还将对企业进行DDoS攻击甚至删除数据。安恒信息安全专家团队,针对“阎罗王”的攻击原理和加密过程进行了详细的还原分析,提出了有效的解密方法。文末可以免费下载专业解密工具!
“阎罗王”勒索信
“阎罗王”运行加密过程分析
1.样本运行后,首先判断参数。样本所支持的参数如下:
▷ -p/-path/--path:指定要加密的文件路径
▷ -pass/--pass:样本运行需要指定密钥,值为D86BDXL9N3H
▷ -h/--help:显示参数格式
2.样本会停止进程veeam和sql
3.停止数据库、邮件、浏览器等相关的服务,并终止相关进程,从而释放这些服务所占用的文件,方便对这些文件进行加密:
4.样本内置了一个列表,加密过程中会跳过列表中的文件类型:
▷ .exe
▷ .dll
▷ .conf
▷ .a
▷ .lib
▷ .bat
▷ .ps
▷ .msi
▷ .cfg
▷ .reg
▷ .sys
▷ .lnk
▷ .obj
▷ .ini
▷ .yanluowang
5.样本加密过程中会跳过如下路径:
▷ .
▷ ..
▷ PROGRA~1
▷ PROGRA~1
▷ PROGRA~1
▷ SYSTEM~1
▷ README.txt
▷ Windows
▷ WINDOWS
6.样本使用Sosemanuk算法对文件进行加密。首先会调用CryptGenRandom生成加密所需的IV:
7.调用RC4算法,解密出RSA密钥,RC4密钥为RSCNFZJCXGCGF8Q6TOY7IKPE9J3PO6DAPGZFKLHARGXW:
▷ 解密出的RSA密钥:
8.使用RSA-1024密钥,加密生成的IV:
9.以3GB为分界线,对于不同大小的文件,采用不同的逻辑进行加密:
10.对小于3GB的文件,完整加密:
11.对大于3GB的文件,每200MB加密5MB:
12.对加密后的文件,添加后缀“yanluowang”:
13.加密后,在每个被加密的文件夹下,释放文件README.txt作为勒索信,内容如下:
二、“阎罗王”解密原理分析
样本使用Sosemanuk流对称加密算法进行加密,算法利用一个IV,生成一个密钥流,然后使用密钥流与明文进行xor运算进行加密。通常情况下,每个文件的IV应该不同,从而保证密钥流不同,但是该样本所有文件使用的IV都相同,因此密钥流都相同,因此只要用任意的明文与密文做xor运算,就可以拿到密钥流。密钥流长度0x400,之后会循环使用。
本次安恒信息安全专家团队成功破解了“阎罗王”勒索病毒的秘钥,但是并不代表所有勒索病毒都可以解密,相反绝大部分的勒索病毒是很难被解密的,对于广大企业用户来说,提高终端的勒索防护能力才是保护关键业务数据不受勒索病毒危害的“最优解”。
三、针对勒索病毒攻击的防护性措施
安恒信息终端安全专家通过分析勒索病毒的攻击流程,将勒索病毒的攻击分为三个阶段,并提出针对性防护措施,有效防止攻击者向主机植入勒索病毒,为用户资产提供全面的防勒索能力,真正做到抵御勒索病毒“于千里之外”。
01
信息收集、寻找攻击点
安恒EDR具备防端口扫描功能,实时检查入站连接并阻断对本机端口的恶意探测, 防止攻击者进行扫描和嗅探,导致敏感信息泄露。并且并利用勒索风险专项评估能力,对系统的弱口令、威胁文件、风险账号、错误配置等进行专业评估、针对系统的薄弱点进行快速修复,不给攻击者“可乘之机”。
02
入侵主机 持久化攻击
通过防单机扩展(针对本机的扩展行为进行监测,防止提权行为)、防远控持久化(对失陷后主机远控持久化行为进行检测,并可阻断远控)两大防御能力,防止攻击者入侵主机,有效进行事前防御。
03
横向渗透 扩大攻击面
通过防内网探测功能对内网的恶意攻击行为进行识别,阻断攻击者对内网的横向渗透。并基于业务隔离的策略划分特定的网络域, 防止威胁在内网扩散;搭载一键关闭高危端口,一键封锁威胁IP等应急策略,防止“威胁串网”维持整个网络环境稳定。有效切断攻击者攻击途径,阻止攻击者进行横向渗透。
除了做好事前防御外,安恒EDR还具备专利级的勒索病毒防护引擎:
1
能及时发现并阻断勒索病毒的启动,准确高效地实时保护用户关键业务数据及服务。
2
可添加访问控制策略,对重要文件或目录进行访问权限控制,仅允许配置的例外进程操作,从根本上杜绝勒索病毒,保护业务数据安全。
面对复杂的网络安全态势,勒索病毒的变种将会越来越快,攻击手段会变得更加多样化;安恒信息将持续发挥技术上的优势,打造更专业、更强大的终端安全防护产品与解决方案,守护千万企业与用户的终端安全。
扫码立即获取
“阎罗王”勒索病毒
专业解密工具
2022-04-22
2022-04-21
2022-04-20