勒索袭击新方式,提防注册机中注入的勒索病毒!

1

 事件概述

近期,用户反馈称自己在使用某款“注册机”软件时候,系统中文件被不行加密。通过对受害用户提供的线索和样本进 行综合分析研判,发现了一款借助破解类工具进行传播的新型勒索软件,其会通过向桌面释放勒索信与收款码图片的方式向用户索要2000元人民币的赎金。

下图是受害用户反馈的该勒索软件的网盘下载页面,其正是这样以这样的形式伪装成注册机软件诱导用户下载并运行的。

图片

2

 样本分析

初始执行

以上述伪装为所谓“CSAA11注册机”的勒索软件为例进行分析。发现下载到的压缩包中的确含有一个所谓的“KeyGen.exe”主程序。

图片

当用户点击运行该KeyGen.exe程序后,也的确会展示出一张注册机该有的正常界面。

图片

然而,在这个看似正常的注册机界面后台,则是已经被暗暗加载到内从中并开始默默运行的“libartual.dll”程序。

该程序虽然以“.dll”命名像是一个动态链接库文件,但实际上是一个可以自运行的“.exe”程序。该程序被加载到内存中执行后,从再次从自身附带的资源数据中获取隐藏的功能代码并解密:

图片

解密成功后,在调用LoadLibrary函数加载这些功能代码来执行核心功能。

图片

3

 勒索功能

被解密出的核心勒索功能被进行了大量混淆,去混淆后便可捋清其代码逻辑:

前期准备

开始加密前,软件首先会尝试杀掉一些安全软件的进程来尽可能的清理其运行环境。然后生成加密用户文件所需密钥的相关随机数,并使用事先内置在代码内的RSA公钥将声称的随机数加密后保存到本地。

图片

加密逻辑

该勒索软件使用的加密了比较常规但也是被反复印证过行之有效的加密方案。对于受害用户系统文件,其采用了AES256对称加密算法进行加密算法,并且对大小在50M以上文件采用CFB模式,而50M以下则是CBC模式。

在生成随机密钥时,也对应的存在两套不同的密钥字符串。勒索软件首先会使用“255个随机字符+Lock+机器硬盘序列号”的格生成一个 字符串,之后在对其本身使用内置的RSA公钥进行加密并写入到勒索信中。在对50M以上文件进行AES256 CFB算法加密时,再用随机生成的盐值对上述随机字符串迭代50000次做为最终的加密密钥使用。

图片

而相对的,对50M以下的文件进行AES256 CBC算法加密时,则算出上述随机字符串的SHA256值,再用固定的盐值(该样本为:11223344) 迭代1000次做为最终的加密密钥使用。

图片

而在加密过程中,勒索软件还会将用户的一些基本信息发送邮件到自身邮箱中作为记录:ac7d33419d00c1d9#tutanota.com

发送的内容则包括:机器名、硬盘序列号、加密文件的数量、内置RSA公钥加密后的随机字符串等。

所有被加密的文件均会被添加._locked扩展名。而经汇总,该勒索软件会对以下扩展名的文件进行加密(共137种):

.txt,.doc,.docx,.log,.msg,.odt,.pages,.rtf,.tex,.wpd,.wps,.csv,.dat,.ged,.key,.keychain,.pps,.ppt,.pptx,.sdf,.tar,.tax2014,.tax2015,.vcf,.xml,.aif,.iff,.m3u,.m4a,.mid,.mp3,.mpa,.wav,.wma,.3g2,.3gp,.asf,.avi,.flv,.m4v,.mov,.mp4,.mpg,.rm,.srt,.swf,.vob,.wmv,.3dm,.3ds,.max,.obj,.bmp,.dds,.gif,.jpg,.png,.psd,.tga,.thm,.tif,.tiff,.yuv,.ai,.eps,.ps,.svg,.indd,.pct,.pdf,.xlr,.xls,.xlsx,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf,.asp,.aspx,.cer,.cfm,.csr,.css,.htm,.html,.js,.jsp,.php,.rss,.xhtml,.7z,.cbr,.deb,.gz,.pkg,.rar,.rpm,.sitx,.tar.gz,.zip,.zipx,.bin,.cue,.dmg,.iso,.mdf,.toast,.vcd,.c,.class,.cpp,.cs,.dtd,.fla,.h,.java,.lua,.m,.pl,.py,.sh,.sln,.swift,.vb,.vcxproj,.xcodeproj,.bak,.tmp,.crdownload,.ics,.msi,.part,.torrent

4

 勒索信息

勒索软件在完成所有加密工作后,会在桌面留下一封勒索信,核心内容如下:

图片

同时,应该是为了方便受害用户以最便捷最熟悉的形式支付赎金,软件还会同时将一张内置收款码截图解码后释放到桌面上:

图片

图片

我们提示广大用户,切勿随意相信各类破解软件或注册工具的宣传,以免贪图一时的“方便”而给自己带来更多的“麻烦”。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/647918.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

mysql 基础(三)

一、多表设计 数据库设计范式 第一范式(确保每列保持原子性) 第一范式是最基本的范式。如果数据库表中的所有字段值都是不可分解的原子值,就说明该数据库表满足了第一范式。第二范式就是要有主键,要求其他字段都依赖于主键。 没有主键就没有唯一性&…

用ChatGPT写申请文书写进常春藤联盟?

一年前,ChatGPT 的发布引发了教育工作者的恐慌。现在,各大学正值大学申请季,担心学生会利用人工智能工具伪造入学论文。但是,聊天机器人创作的论文足以骗过大学招生顾问吗? ChatGPT简介 ChatGPT,全称聊天生…

【格密码基础】基于LWE问题的密码系统

目录 一. 介绍 二. LWE密码方案简单介绍 三. LWE经典归约 四. LWE性质 五. LWE的鲁棒性 一. 介绍 在2005年,Regev基于LWE问题提出了一个新的公钥密码方案。该方案可实现语义安全(semantic security),其中误差率(…

【云原生】Docker的镜像创建

目录 1.基于现有镜像创建 (1)首先启动一个镜像,在容器里做修改 ​编辑(2)然后将修改后的容器提交为新的镜像,需要使用该容器的 ID 号创建新镜像 实验 2.基于本地模板创建 3&am…

蓝凌OA sysUiExtend.do 任意文件上传漏洞复现

0x01 产品简介 蓝凌核心产品EKP平台定位为新一代数字化生态OA平台,数字化向纵深发展,正加速构建产业互联网,对企业协作能力提出更高要求,蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化,赋能大中型组织更高效的内外协作与管理,支撑商业…

[docker] Docker的数据卷、数据卷容器,容器互联

一、数据卷(容器与宿主机之间数据共享) 数据卷是一个供容器使用的特殊目录,位于容器中。可将宿主机的目录挂载到数据卷上,对数据卷的修改操作立刻可见,并且更新数据不会影响镜像,从而实现数据在宿主机与容…

81.网游逆向分析与插件开发-背包的获取-装备栏数据结构的逆向分析

内容参考于:易道云信息技术研究院VIP课 上一个内容:自动化助手显示物品数据-CSDN博客 然后游戏中有弓箭,弓箭有数量,可以作为突破口,也可以使用物品id 获取弓的方式 获取弓箭的方式 然后搜索250 然后搜索出一个 然后…

Linux零碎点

目录 Linux基础命令 1、who: 2、hostname: 3、ifconfig: 4、pwd: 5、cd: 6、exit: 7、shutdown: 8、ls: 9、创建文件夹: 10、touch: 11、cp&#…

在百度云免费配置SSL证书 http改https操作

以下以在百度智能云上的操作为例,并不是给他打广告 1.购买域名 2.到域名管理处,解析网址,添加,*,www,指向服务器IP, 此时就可以访问网址:http://www.域名.cn 3.但是浏览器会报不安全,所以需要配置SSL证书…

acrobat调整pdf的页码和实际页码保持一致

Acrobat版本 具体操作 现在拿到pdf的结构如下: pdf页码实际页码1-10页无页码数11页第1页 操作,选择pdf第10页,右键点击 具体设置 最终效果

实习日志5

活字格图片上传功能(批量) 这个报错真的恶心,又看不了他服务器源码,接口文档又是错的 活字格V9获取图片失败bug,报错404-CSDN博客 代码BUG记录: 问题:上传多个文件的base64编码被最后一个文…

【oracle】oracle客户端及oracle连接工具

一、关于oracle客户端 1.1 Oracle Client 完整客户端 包含完整的客户端连接工具。 包很大,需要安装 1.2 instantclient 即时客户端 是 Oracle(R) 发布的轻量级数据库客户端,减少甚至只包含几个文件,您无需安装标准的客户端,就可以…

视频渲染靠cpu还是显卡 会声会影视频渲染的作用是什么

视频渲染最占用的资源就是CPU,多核心多线程,这样才能渲染快。渲染可以在时间线上实时平滑预览,便于编辑,最终导出成片的时候速度也会快一些,渲染就是对每桢的图像进行重新优化的过程。 渲染的作用主要是能够保证使用者…

【java面试】Spring

目录 1. Spring 介绍1.1 Spring 的优点1.2 Spring 的缺点1.3 详细讲解一下核心容器(spring context应用上下文) 模块 2. Spring俩大核心概念IOC,Inversion of Control,控制反转AOP(Aspect-OrientedProgramming),面向切面编程Sprin…

Gradle学习笔记:Gradle的使用方法

文章目录 1.初始化项目2.构建脚本语言选择3.项目命名4.项目构建过程 1.初始化项目 创建一个test空文件夹,在该文件夹下打开终端,并执行命令:gradle init. 会有一个选项让你选择项目的类型。下面是每个选项的含义和用途: basic&am…

Hylicos - MINI2440 - 中断控制

中断 中断源管理 中断是一种异步异常,CPU需要处理很多来自设备的中断请求,而CPU引出的line只有IRQ线和FIQ线,所以就得引入中断控制器帮助CPU搞清楚是中断的来源。 MINI2440的中断控制器,可以接受来自60个中断源的请求。提供这些…

机器学习笔记 - 基于自定义数据集 + 3D CNN进行视频分类

一、简述 这里主要介绍了基于自定义动作识别数据集训练用于视频分类的 3D 卷积神经网络 (CNN) 。3D CNN 使用三维滤波器来执行卷积。内核能够在三个方向上滑动,而在 2D CNN 中它可以在二维上滑动。 这里的模型主要基于D. Tran 等人2017年的论文“动作识别的时空卷积研究”。 …

【算法】糖果(差分约束)

题目 幼儿园里有 N 个小朋友,老师现在想要给这些小朋友们分配糖果,要求每个小朋友都要分到糖果。 但是小朋友们也有嫉妒心,总是会提出一些要求,比如小明不希望小红分到的糖果比他的多,于是在分配糖果的时候&#xff…

RocketMQ源码阅读-九-自定义过滤规则Flitersrv

RocketMQ源码阅读-九-自定义过滤规则Flitersrv 什么是FiltersrvFiltersrv注册到Broker过滤类Consumer发起订阅设置过滤类代码Consumer上传过滤类代码Flitersrv编译过滤类代码 过滤消息Consumer 从 Filtersrv 拉取消息Flitersrv从Broker拉取消息 Flitersrv的高可用总结 什么是Fi…

【C++】内存分区模型

目录 1.程序运行前 2.程序运行后 3. new操作符 3.1 基本语法 3.2 开辟数组 C程序在执行时,将内存大方向划分为4个区域 代码区:存放函数体的二进制代码,由操作系统进行管理的 全局区: 存放全局变量和静态变量以及常量栈区 …