勒索病毒冲着企业服务器来了 CSO们怕了么？

　　用户ID的生成算法为：勒索病毒首先通过RSA-1024生成用户公私钥(user_rsa_pub和user_rsa_pri)，将生成的密钥中的rsa.P与rsa.Q拼接上“.TRUE.HOWBACKFILE”等内容后，使用内置的公钥(hacker_rsa_pub)加密，结果作为用户ID，同时，生成的公钥(user_rsa_pub)会做为后面遍历文件系统时的加密key使用。

　　可见，该用户ID也经过了RSA公钥(hacker_rsa_pub)的加密，在没有私钥(hacker_rsa_pri)的情况下，很难还原出RSA-1024的密钥内容。

　　5)文件加密过程

　　通过GetLogicalDrives得到盘符信息，对每个盘符开启一个线程进行加密，每个线程函数的参数包含三部分内容：当前盘符路径，加密key(user_rsa_pub)，用户ID。

　　判断文件路径是不是属于排除路径：

　　函数sub_4094D9会实现对文件的加密，对文件的加密使用的是AES加密算法。下面将详细介绍该函数的过程。

　　AES加密的KEY通过CoCreateGuid生成，CoCreateGuid函数功能为生成全局唯一标识符，勒索病毒使用该全局唯一标识符做为secret_key,secret_key用来生成AES的加密key.。

　　AES加密时的IV参数由当前文件的大小和文件路径共同生成。IV参数将MD(filesize||filename)后取前16位。

　　将IV和secretkey使用MBEDTLS_MD_SHA256计算8192次HASH，并将HASH结果做为AES加密的KEY

　　随后，使用内置的RSA公钥将guid进行加密，并将加密过的guid及用户ID写入到当前文件中。

　　最后，使用AES算法将文件内容加密。

　　AES加密算法过程如下：

　　6)自启动

　　勒索病毒通过在RunOnce注册表下新建名为BrowserUpdateCheck的键值，达到开机自启动的目的。部分代码如下

　　7)自删除

　　通过调用CMD/cdel来实现自删除，部分代码如下

　　8)删除远程桌面连接信息及事件日志

　　解密bat文件后释放到临时目录下，并加载运行

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!