近期勒索软件分析研究
勒索软件在不断地变化发展,攻击者会使用各种方式敲诈目标支付赎金,如今它不仅仅是加密数据,同时也会造成数据泄露。
许多公司组织坚信完善的反病毒保护方案可以防止被勒索软件攻击,但是勒索攻击仍然一次又一次成功。大多是情况下,攻击者会利用虚拟专用网中的一些已知漏洞,或者对暴露在互联网中的主机进行攻击,并不完全是利用恶意软件直接进行攻击。
Ragnar Locker
RagnarLocker在2020年上半年开始攻击大型组织,它具有很强的针对性,每一个样本都是为目标组织量身定做的。如果受害者拒绝付款,他们的数据将被公布在网上。攻击者声称,这笔钱是他们发现漏洞、为文件提供解密和为受害者提供OpSec培训的奖励。
根据拒绝付款的受害者名单,Ragnar Locker的主要目标是美国公司,行业类型各不相同。
Ragnar Locker 技术分析
研究人员选择最近发现的恶意软件样本进行分析:1195d0d18be9362fb8dd9e1738404c9d
启动时,Ragnar Locker会检查计算机区域设置。如果是列出的某个国家区,它将停止操作并退出。
不在上述列表中的国家,它将继续检查一下字符串:
所有准备工作完成后,木马程序将搜索本地磁盘并加密受害者的文件。
RagnarLocker使用基于Salsa20进行加密。 每个文件的密钥和随机数值也是唯一生成的,并通过木马中硬编码的2048位公共密钥一起加密。
在加密文件后,Ragnar Locker会将加密的密钥,随机数和初始化常量添加到加密的文件中,并添加标记“!@#®agna®#@!”。
Egregor
Egregor勒索软件于2020年9月被发现,经过初步分析,其与Sekhmet勒索软件和Maze勒索软件存在关联。
Egregor勒索软件通常会出现断网的情况,恶意软件样本是一个DLL文件,需要使用命令行参数并给出的正确密码来启动。Egregor是最激进的勒索软件家族,如果72小时内不支付赎金,受害者的数据将会被公布。
Egregor技术分析
研究人员选择最近发现的样本进行分析:b21930306869a3cdb85ca0d073a738c5
恶意软件只有在启动过程中提供正确密码才会生效。 此技术旨在阻碍沙盒自动分析以及研究人员的手动分析,没有正确的密码,就不可能解压缩和分析有效载荷。
解压运行恶意程序后,最终得到了一个混淆的二进制文件,该二进制文件仍然不适合静态分析。Egregor中使用的混淆技术与Maze、Sekhmet中的混淆技术非常相似。
控制流混淆示例
有效负载开始执行时,它将检查操作系统用户语言,避免对安装了以下语言的计算机进行加密:
终止以下进程:
Egregor使用基于流密码ChaCha和非对称密码RSA的混合加密方案。
Egregor会生成一对唯一的会话密钥对。会话专用RSA密钥由ChaCha导出并使用唯一生成的密钥+随机数加密,然后用主公共RSA密钥加密该密钥和随机数。结果保存在二进制文件中(在本例中为C:\ProgramData\dtb.dat),并在赎金记录中保存为base64编码的字符串。
Egregor处理的文件会生成一个新的256位ChaCha密钥和64位随机数,通过ChaCha加密文件内容,然后使用会话公共RSA密钥加密秘钥和随机数,最后将它们与一些辅助信息一起保存。每个加密文件的最后16个字节由动态标记组成。
Egregor的地理覆盖范围比Ragnar Locker的更广:
涉及诸多行业:
保护措施
- 勿将远程桌面服务(例如RDP)开放到互联网中,开放服务需要使用强密码;
- 及时安装商业虚拟专用网可用补丁;
- 及时更新所有设备上的软件,防止被勒索软件攻击;
- 将防御策略重点放在检测横向移动和向Internet的数据泄漏方面;
- 定期备份数据;
- 培训员工提高安全意识,如何防范勒索软件攻击。
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- windows7系统中网络延迟问题的多种解决方法
- Win10如何启用网络发现?Win10启用网络发现的方法
- 借助网络和Samba实现资源共享(下)
- 如何利用云备份抵御勒索软件
- DDoS 攻击者竟会“黑吃黑”?关于DDoS 你不知道的还有这些
- 网络犯罪市场Deer.io俄罗斯管理员在美国被判入狱
- 5G时代下网络攻击成本揭秘
- 纽约州政府IT部门一个内部代码库遭泄露
- 借助网络和Samba实现资源共享(上)
- qq农场打不开? QQ空间能打开
- Browser Locker:以罚款为借口的虚假网站诈骗
- 俄罗斯又被指责对国家网络安全构成“紧急威胁”,频现风波有何隐情?
- 百度回应泄露隐私:造谣
- 有黑客曾入侵中国网络,窃取新冠疫情情报?如今安全公司扒出真相
- 商场免费WIFI安全吗 WIFI密码共享软件隐患多
- 福昕阅读器漏洞可用于执行恶意代码
- 普通主板和游戏主板的区别是什么?
- CISA发布公告提醒通用电气电源管理设备存在安全缺陷
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
系统大小:2.47GB系统类型:Win7 - 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
系统大小:4.7GB系统类型:Win10 - 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
系统大小:4.7GB系统类型:Win10 - 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
系统大小:2.47GB系统类型:Win7 - 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载系统大小:4.7GB系统类型:Win10
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
系统大小:5.54GB系统类型:Win10 - 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
系统大小:5.54GB系统类型:Win10 - 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
系统大小:2.47GB系统类型:Win7 - 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
系统大小:2.98GB系统类型:Win8 - 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
系统大小:2.98GB系统类型:Win8
热门文章
常用系统
- 1电脑公司 Ghost Win7 Sp1 装机万能版下载 2018年8月(32位)
系统大小:2.47GB系统类型:Win7 - 2深度技术 Windows 10 x86 企业版 电脑城装机版 版本1903 2022年5月(32位) ISO镜像免费下载系统大小:4.7GB系统类型:Win10
- 3电脑公司工程师装机专用系统 Windows10 x86企业版2018年7月(32位) ISO镜像免费下载
系统大小:4.7GB系统类型:Win10 - 4电脑公司Ghost Win8.1 x32 精选纯净版2019年11月(免激活) ISO镜像高速下载系统大小:2.98GB系统类型:Win8
- 5番茄花园 Windows 10 喜迎国庆 极速企业版 版本1903 2021年10月(32位) ISO镜像快速下载
系统大小:4.7GB系统类型:Win10 - 6笔记本&台式机专用系统 Windows10 企业正式版 2018年8月(64位)ISO镜像下载
系统大小:5.54GB系统类型:Win10 - 7笔记本系统Ghost Win8.1 (X64) 六一节 全新纯净版2021年6月(永久激活) 提供下载
系统大小:4.02GB系统类型:Win8 - 8新雨林木风 Windows10 x86 企业装机版2021年10月(32位) ISO镜像高速下载
系统大小:4.7GB系统类型:Win10 - 9电脑公司Ghost Win8.1 x32 精选纯净版2021年3月(免激活) ISO镜像高速下载系统大小:2.98GB系统类型:Win8
- 10雨林木风Ghost Win8.1 (X64) 极速纯净版2021年10月免激活) ISO镜像高速下载
系统大小:4.02GB系统类型:Win8