首页 微博热点正文

四个又,国外黑客安排使用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),农村房子设计图

*本文作者:熊猫正正,本文属 FreeBuf 原创奖赏方案,未经许可制止转载。

一、事情布景

国外安全研究员在5月21日在网上爆光了一款运用RIGEK缝隙运用东西包传达的新式勒索病毒。

如下所示:

这款勒索病毒相同修正了桌面的布景,同之前盛行的GandCrab和Sodinokibi勒索病毒相似,RIGEK缝隙东西包也经常被运用来传达各种勒索和挖矿病毒,之前已经有不少报导运用RIGEK缝隙东西包传达歹意软件的陈述,此次RIGEK被运用传达身份证号大全游戏注册这款新式的勒索病毒,通过剖析这款勒索病毒避开了Russian等地不思议迷宫断头台区的主森苺莉机,笔者剖析过很多的勒索病毒样本,不少新式的或盛行的勒索病毒都有此操作,猜想:是不是因为前几年杀毒软件的生意不好做,卡巴斯基的安全老毛子们都转搞黑产了?导致近几年做挖矿和勒索的黑产们越来山西小院全集播映越多,越来越盛行,本年针对企业的勒索病毒进犯也是越来越多,之前有报导称在第一季度针对企业的勒索病毒进犯增长了500%,勒索依然是黑产们来钱最快最暴利的手法之一,并且大部分企业中了勒索之后,都挑选交钱处理,有些大企业中了勒索,乃至不会公开去翁文凤找安全公司处理方案,悄悄交钱解密,导致针对企业的勒索进犯越来越频频,每天都有新的勒索病毒或变种呈现……

四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图
3355b

样本下载地址:https://app.any.run/tasks/701839e5-1a81-47ab-98d2-0dd5ae14ae53/

有爱好的朋友能够下载样本进行剖析,剖析这款勒索病毒仍是很风趣的……笔者猜测立刻这款新式的勒索病毒就会在国内盛行……请各大安全厂商以及各大企业做好相应的应对防护办法!

二、样本简介

勒索病毒运转之后,如下所示:

勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:

勒索病毒加密文件,加密文件后缀名为四位大写字母,如下所示:

三、详细剖析

1.勒索病毒母体采用了高强度的混杂免杀技能,勒索病毒的中心被一层“厚厚的”外壳维护,(详细的盯梢调试进程我就省掉了,有不会的能够私聊我),解密出勒索病毒中心代码,中心代码,如下所示:

2.获取操作系统言语版别,假如操作系统版别为419(LANG_RUSSIAN 俄语) 422(LANG_UKRAINIAN 乌克兰) 423(LANG_BELARUSIAN 白俄罗斯) 43F(LANG_KAZAK 哈萨克族)等区域,则不履行相应的勒索加密进程,退出朴丽芬程序,如下所示:

3.获取主机的CPUID,如下所示:

4.生成加密文件后的加密后缀,如下所示:

生成的加密后缀为:ELSH,如下所示:

5.判别操作系统的版别,进程提权,如下所示:

然后创立线程,删去磁盘卷影,如下所示:

6.在%APPDATA%目录下生成加密的key文件encrypted_key.bin,如下所示:

生成Key余杭孔祥华文高城梨沙件的进程,先解密出Base64硬编码的RSA公钥信息,如下所示:

然后导入RSA公钥,再加密生成的随机密钥,如下所示:

再运用Base64算法进行加密,如下所示:

再把Base64加密生成珍珠内裤的密钥信息,写入到key文件中,如下所示:

生成的key文件,如下所示:

7.遍历同享目录文件,然后加密文件,如下所示:

四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图

8.遍历磁盘文件,然后加密文件,如下所示:

9.在每个目录下生成勒索信息文本文件# DECRYPT MY FILES #.txt,如下所示:

10.遍历磁盘目录,假如目录中包括,如下苍井空冰桶湿身字符串目录,则不进行加密,如下所示:

相应的目录字符串列表,如下所示:

:\\$Recycle.Bin

:\\ProgramData

:\\Users\\All Users

:\\Program Files

:\\Local Settings

:\\Windows

:\\Boot

:\\System Volume In姐姐好formation

:\\Recovery

AppData

假如文件名中包括“加密后太玄焚天的文件后缀”或许包括“# DECRYPT MY FILES #”,则不进行加密,如下所示:

11.假如遍历到相应的文件符合要求,则加密文件,加密后的文件后缀名为之前生成的后缀名,如下所示:

12.生成勒索桌面布景,如下所示:

修正桌面布景,如下所示:

然后在TEMP目录下生成勒索信息桌面布景图片desk.bmp,写入相应的数据,如下所示:

陈良宇传奇

最撤退四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图出程序。

四、IOC M四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图D5: 6D21C5C3BCFF6076179BCCD9EA6D1464

(在文章审阅期间,Emsisoft居然在5月23号放出来解密东西,Emsisoft之前也放出了不少的巴罗莫角勒索解密东西,真是谋福全球,国内用户假如有中此勒索的,能够下载解密)

五、解密东西

Emsisoft releases a free decrypter for the GetCryp成功88规律t Ransomware

下载地址:https://www.emsisoft.com/decrypter/getcrypt

通过笔者测验,能够解密,如下所示:

*四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图本文作者:熊猫正正,本汪涵暗讽韩庚罢录文属 FreeBuf 原创奖赏计藏王刀划,未经许可制止转载。

四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图 挖矿病毒 王诗龄当杨颖花童卡巴斯基 勒索病毒加密 四个又,国外黑客组织运用RIGEK传达新式勒索病毒GETCRYPT(附解密东西),乡村房子设计图 kazak rsa
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。