公司

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

「黑白叢林」“閻羅王”襲擊全球，安恒信息發(fā)布解密工具

閱讀量：次

黑白叢林

安恒信息「黑白叢林」專欄，為提升網(wǎng)絡(luò)安全攻防認(rèn)知而設(shè)，希望讀者從中受益。

近日，一種命名為“閻羅王”的勒索病毒，在全球范圍內(nèi)掀起熱議，該團(tuán)伙已利用“閻羅王”在美國(guó)、巴西、土耳其等國(guó)家發(fā)起大規(guī)模的勒索攻擊，并且此團(tuán)伙極其囂張地警告受害者不要聯(lián)系執(zhí)法部門和勒索病毒“中介”，如果不遵守約定還將對(duì)企業(yè)進(jìn)行DDoS攻擊甚至刪除數(shù)據(jù)。安恒信息安全專家團(tuán)隊(duì),針對(duì)“閻羅王”的攻擊原理和加密過程進(jìn)行了詳細(xì)的還原分析，提出了有效的解密方法。文末可以免費(fèi)下載專業(yè)解密工具！

“閻羅王”勒索信

“閻羅王”運(yùn)行加密過程分析

1.樣本運(yùn)行后，首先判斷參數(shù)。樣本所支持的參數(shù)如下：

??-p/-path/--path：指定要加密的文件路徑

??-pass/--pass：樣本運(yùn)行需要指定密鑰，值為D86BDXL9N3H

??-h/--help：顯示參數(shù)格式

2.樣本會(huì)停止進(jìn)程veeam和sql

3.停止數(shù)據(jù)庫、郵件、瀏覽器等相關(guān)的服務(wù)，并終止相關(guān)進(jìn)程，從而釋放這些服務(wù)所占用的文件，方便對(duì)這些文件進(jìn)行加密：

4.樣本內(nèi)置了一個(gè)列表，加密過程中會(huì)跳過列表中的文件類型：

??.exe

??.dll

??.conf

??.a

??.lib

??.bat

??.ps

??.msi

? .cfg

??.reg

??.sys

??.lnk

??.obj

??.ini

??.yanluowang

5.樣本加密過程中會(huì)跳過如下路徑：

??.

??..

??PROGRA~1

??SYSTEM~1

??README.txt

??Windows

??WINDOWS

6.樣本使用Sosemanuk算法對(duì)文件進(jìn)行加密。首先會(huì)調(diào)用CryptGenRandom生成加密所需的IV：

7.調(diào)用RC4算法，解密出RSA密鑰，RC4密鑰為RSCNFZJCXGCGF8Q6TOY7IKPE9J3PO6DAPGZFKLHARGXW：

??解密出的RSA密鑰：

8.使用RSA-1024密鑰，加密生成的IV：

9.以3GB為分界線，對(duì)于不同大小的文件，采用不同的邏輯進(jìn)行加密：

10.對(duì)小于3GB的文件，完整加密：

11.對(duì)大于3GB的文件，每200MB加密5MB：

12.對(duì)加密后的文件，添加后綴“yanluowang”：

13.加密后，在每個(gè)被加密的文件夾下，釋放文件README.txt作為勒索信，內(nèi)容如下：

二、“閻羅王”解密原理分析

樣本使用Sosemanuk流對(duì)稱加密算法進(jìn)行加密，算法利用一個(gè)IV，生成一個(gè)密鑰流，然后使用密鑰流與明文進(jìn)行xor運(yùn)算進(jìn)行加密。通常情況下，每個(gè)文件的IV應(yīng)該不同，從而保證密鑰流不同，但是該樣本所有文件使用的IV都相同，因此密鑰流都相同，因此只要用任意的明文與密文做xor運(yùn)算，就可以拿到密鑰流。密鑰流長(zhǎng)度0x400，之后會(huì)循環(huán)使用。

本次安恒信息安全專家團(tuán)隊(duì)成功破解了“閻羅王”勒索病毒的秘鑰，但是并不代表所有勒索病毒都可以解密，相反絕大部分的勒索病毒是很難被解密的，對(duì)于廣大企業(yè)用戶來說，提高終端的勒索防護(hù)能力才是保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)不受勒索病毒危害的“最優(yōu)解”。

三、針對(duì)勒索病毒攻擊的防護(hù)性措施

安恒信息終端安全專家通過分析勒索病毒的攻擊流程，將勒索病毒的攻擊分為三個(gè)階段，并提出針對(duì)性防護(hù)措施，有效防止攻擊者向主機(jī)植入勒索病毒，為用戶資產(chǎn)提供全面的防勒索能力，真正做到抵御勒索病毒“于千里之外”。

信息收集、尋找攻擊點(diǎn)

安恒EDR具備防端口掃描功能，實(shí)時(shí)檢查入站連接并阻斷對(duì)本機(jī)端口的惡意探測(cè), 防止攻擊者進(jìn)行掃描和嗅探，導(dǎo)致敏感信息泄露。并且并利用勒索風(fēng)險(xiǎn)專項(xiàng)評(píng)估能力，對(duì)系統(tǒng)的弱口令、威脅文件、風(fēng)險(xiǎn)賬號(hào)、錯(cuò)誤配置等進(jìn)行專業(yè)評(píng)估、針對(duì)系統(tǒng)的薄弱點(diǎn)進(jìn)行快速修復(fù)，不給攻擊者“可乘之機(jī)”。

入侵主機(jī) 持久化攻擊

通過防單機(jī)擴(kuò)展（針對(duì)本機(jī)的擴(kuò)展行為進(jìn)行監(jiān)測(cè)，防止提權(quán)行為）、防遠(yuǎn)控持久化（對(duì)失陷后主機(jī)遠(yuǎn)控持久化行為進(jìn)行檢測(cè)，并可阻斷遠(yuǎn)控）兩大防御能力，防止攻擊者入侵主機(jī)，有效進(jìn)行事前防御。

橫向滲透擴(kuò)大攻擊面

通過防內(nèi)網(wǎng)探測(cè)功能對(duì)內(nèi)網(wǎng)的惡意攻擊行為進(jìn)行識(shí)別，阻斷攻擊者對(duì)內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務(wù)隔離的策略劃分特定的網(wǎng)絡(luò)域，防止威脅在內(nèi)網(wǎng)擴(kuò)散；搭載一鍵關(guān)閉高危端口，一鍵封鎖威脅IP等應(yīng)急策略，防止“威脅串網(wǎng)”維持整個(gè)網(wǎng)絡(luò)環(huán)境穩(wěn)定。有效切斷攻擊者攻擊途徑，阻止攻擊者進(jìn)行橫向滲透。

除了做好事前防御外，安恒EDR還具備專利級(jí)的勒索病毒防護(hù)引擎：

能及時(shí)發(fā)現(xiàn)并阻斷勒索病毒的啟動(dòng)，準(zhǔn)確高效地實(shí)時(shí)保護(hù)用戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)及服務(wù)。

可添加訪問控制策略，對(duì)重要文件或目錄進(jìn)行訪問權(quán)限控制，僅允許配置的例外進(jìn)程操作，從根本上杜絕勒索病毒，保護(hù)業(yè)務(wù)數(shù)據(jù)安全。

面對(duì)復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢(shì)，勒索病毒的變種將會(huì)越來越快，攻擊手段會(huì)變得更加多樣化；安恒信息將持續(xù)發(fā)揮技術(shù)上的優(yōu)勢(shì)，打造更專業(yè)、更強(qiáng)大的終端安全防護(hù)產(chǎn)品與解決方案，守護(hù)千萬企業(yè)與用戶的終端安全。

掃碼立即獲取