KrakenCryptor勒索家族分析报告

栏目: 编程工具 · 发布时间: 6年前

内容简介:一、样本简介近日,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族KrakenCryptor,发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本,且从10月22号以来,陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法,加密后缀也随机生成。1.样本是用.net框架编写的,并且样本经过混淆,如图所示:

一、样本简介

近日,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族KrakenCryptor,发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本,且从10月22号以来,陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法,加密后缀也随机生成。

二、详细分析

1.样本是用.net框架编写的,并且样本经过混淆,如图所示:

KrakenCryptor勒索家族分析报告

图 1

KrakenCryptor勒索家族分析报告

图 2 样本代码混淆

2.将样本去混淆,便开始对它的研究。跟一般勒索软件类似,该版本也会给受害者设定一个缴纳赎金的时限,超过一个周以后就会涨价。

如图所示,这是给受害者的收费计时,不过并未在图形界面上展示,且这个一周涨价算的是自然周,而不是根据受害者被加密以后开始算。

KrakenCryptor勒索家族分析报告

图 3 缴费(勒索)倒计时

3.样本会首先解密出一些关于加密的信息,比如,家族、版本、技术支持邮箱等。

KrakenCryptor勒索家族分析报告

图 4 家族版本号

KrakenCryptor勒索家族分析报告

图 5 加密的密钥长度信息

KrakenCryptor支持加密的文件后缀,一共有422种。下图为部分文件后缀。

KrakenCryptor勒索家族分析报告

图 6 支持加密的文件后缀

4.样本会通过https://ipinfo.io网站来确认受害者IP的位置

KrakenCryptor勒索家族分析报告

图 7 收集受害者IP的物理位置

5.收集受害者系统版本、mac地址、本地磁盘信息,并生成RSA和AES密钥

KrakenCryptor勒索家族分析报告

图 8 生成加密密钥

6.获取受害者的默认输入法,对特定默认输入法进行免疫(不加密)。

KrakenCryptor勒索家族分析报告

图 9 获取默认输入法

KrakenCryptor勒索家族分析报告

图 10 免疫输入法

获取系统语言,对特定语言进行免疫。目前免疫的国家有:亚美尼亚(AM),阿塞拜疆(AZ),白俄罗斯(BY),爱沙尼亚(EE),格鲁吉亚(GE),伊朗(IR),吉尔吉斯坦(KG),立陶宛( LT),摩尔多瓦(MD),俄罗斯(RU),塔吉克斯坦(TJ),乌克兰(UA),乌兹别克斯坦(UZ),土库曼斯坦(TM),叙利亚(SY),拉脱维亚(LV),哈萨克斯坦(KZ)。

KrakenCryptor勒索家族分析报告

图 11 免疫国家

7.注册表项,新增一个WordLoad的键,用来作为加密记录。如果Wordload的值为1,就退出。

KrakenCryptor勒索家族分析报告

图 12

KrakenCryptor勒索家族分析报告

图 13

8.如果不是在免疫国家列表当中,那么接下来就要走入加密流程了。样本会向https://2no.co/2SVJa5这个URL发送自己的IP物理地址。由于这个URL是个短连接,还原以后是 https://www.bleepingcomputer.com/ ,bleepingcomputer是一个提供安全技术和信息的网站。

KrakenCryptor勒索家族分析报告

图 14 访问bleepingcomputer

9.生成256位AES密钥,并使用CBC模式加密文件。

KrakenCryptor勒索家族分析报告

图 15

10.加密后的文件会直接将原文件覆盖,然后再重命名。

KrakenCryptor勒索家族分析报告

图 16 加密原文件后覆盖写入

KrakenCryptor勒索家族分析报告

图 17  重命名加密后的文件

11.加密完以后样本还会自删除

KrakenCryptor勒索家族分析报告

图 18

12.最后更换桌面背景给受害者进行提示

KrakenCryptor勒索家族分析报告

图 19

三、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。


以上所述就是小编给大家介绍的《KrakenCryptor勒索家族分析报告》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Metasploit渗透测试魔鬼训练营

Metasploit渗透测试魔鬼训练营

诸葛建伟、陈力波、田繁、孙松柏、等 / 机械工业出版社 / 2013-9-1 / 89.00元

首本中文原创Metasploit渗透测试著作,国内信息安全领域布道者和资深Metasploit渗透测试专家领衔撰写,极具权威性。以实践为导向,既详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,又深刻阐释了渗透测试平台背后蕴含的思想。 本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的资深Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,......一起来看看 《Metasploit渗透测试魔鬼训练营》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器