内容简介:近日,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族KrakenCryptor,发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本,且从10月22号以来,陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法,加密后缀也随机生成。1、样本是用.net框架编写的,并且样本经过混淆,如图所示:
前言
近日,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族KrakenCryptor,发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本,且从10月22号以来,陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法,加密后缀也随机生成。
详细分析
1、样本是用.net框架编写的,并且样本经过混淆,如图所示:
2、将样本去混淆,便开始对它的研究。跟一般勒索软件类似,该版本也会给受害者设定一个缴纳赎金的时限,超过一个周以后就会涨价。
如图所示,这是给受害者的收费计时,不过并未在图形界面上展示,且这个一周涨价算的是自然周,而不是根据受害者被加密以后开始算。
缴费(勒索)倒计时
3、样本会首先解密出一些关于加密的信息,比如,家族、版本、技术支持邮箱等。
家族版本号
加密的密钥长度信息
KrakenCryptor支持加密的文件后缀,一共有422种。下图为部分文件后缀。
支持加密的文件后缀
4、样本会通过 https://ipinfo.io 网站来确认受害者IP的位置:
收集受害者IP的物理位置
5、收集受害者系统版本、mac地址、本地磁盘信息,并生成RSA和AES密钥:
生成加密密钥
6、获取受害者的默认输入法,对特定默认输入法进行免疫(不加密)。
获取默认输入法
免疫输入法
获取系统语言,对特定语言进行免疫。目前免疫的国家有:
亚美尼亚(AM),阿塞拜疆(AZ),白俄罗斯(BY),爱沙尼亚(EE),格鲁吉亚(GE),伊朗(IR),吉尔吉斯坦(KG),立陶宛( LT),摩尔多瓦(MD),俄罗斯(RU),塔吉克斯坦(TJ),乌克兰(UA) , 乌兹别克斯坦(UZ) , 土库曼斯坦(TM),叙利亚(SY),拉脱维亚(LV),哈萨克斯坦(KZ)。
免疫国家
7、注册表项,新增一个WordLoad的键,用来作为加密记录。如果Wordload的值为1,就退出。
注册表项
8、如果不是在免疫国家列表当中,那么接下来就要走入加密流程了。样本会向 https://2no.co/2SVJa5 这个URL发送自己的IP物理地址。由于这个URL是个短连接,还原以后是 https://www.bleepingcomputer.com/ ,bleepingcomputer是一个提供安全技术和信息的网站。
9、生成256位AES密钥,并使用CBC模式加密文件。
10、加密后的文件会直接将原文件覆盖,然后再重命名。
加密原文件后覆盖写入
重命名加密后的文件
11、加密完以后样本还会自删除:
12、最后更换桌面背景给受害者进行提示:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 警惕Rapid勒索病毒新变种
- 勒索病毒(CrySiS家族)最新变种分析
- 深度解析勒索病毒GlobeImposter3.0变种
- Matrix勒索病毒PRCP变种侵入政企单位
- “侠盗”勒索病毒V5.3新变种全面剖析
- JSWorm勒索病毒变种通过垃圾邮件传播,该勒索病毒已可被解密
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Head First Java(第二版·中文版)
Kathy Sierra,Bert Bates 著、杨尊一 编译 张然等 改编 / 杨尊一 / 中国电力出版社 / 2007-2 / 79.00元
《Head First Java》是本完整的面向对象(object-oriented,OO)程序设计和Java的学习指导。此书是根据学习理论所设计的,让你可以从学习程序语言的基础开始一直到包括线程、网络与分布式程序等项目。最重要的,你会学会如何像个面向对象开发者一样去思考。 而且不只是读死书,你还会玩游戏、拼图、解谜题以及以意想不到的方式与Java交互。在这些活动中,你会写出一堆真正的Jav......一起来看看 《Head First Java(第二版·中文版)》 这本书的介绍吧!
