|
阎罗王是Symantec Threat Hunter团队在调查大型企业网络事件时发现的一种针对性勒索软件,根据卡巴斯基安全网络的数据,威胁参与者已利用该勒索软件在美国、巴西、土耳其等国家发起攻击。 近日,卡巴斯基专家发现了阎罗王勒索软件加密算法中的一个漏洞,并创建了一个免费的解密器来帮助该勒索软件的受害者恢复文件。
在勒索信中,网络罪犯要求受害者不得联系执法部门,也不要把他们当傻瓜。
阎罗王勒索软件程序具有终止虚拟机、进程和服务的功能。这是使其他程序使用的文件可用于加密的必要条件。停止的服务和进程的主要包括数据库、电子邮件服务、浏览器、处理文档的程序、安全解决方案、备份和卷影复制服务。
阎罗王勒索软件仅用于针对性攻击,而不用于其他勒索软件即服务(RaaS) 。阎罗王本身需要在系统中执行参数,这意味着该软件需手动执行或通过受感染系统中的脚本组合执行。勒索软件中的可用语法是:
Sosemanuk流密码用于加密文件,然后使用RSA-1024非对称算法加密其密钥。RSA公钥本身嵌入在程序中,但使用RC4流密码进行了加密,RC4流密码的密钥是字符串,也嵌入在勒索软件中。加密前后的文件:
阎罗王按照3 GB的阈值将文件分为大文件和小文件。小文件从头到尾完全加密,大文件每200兆字节加密5兆字节。
文件加密后,文件末尾会写入RSA加密的Sosemanuk密钥,大小为1024字节。 卡巴斯基专家分析阎罗王勒索软件并发现了一个漏洞,该漏洞允许通过已知明文攻击解密受影响用户的文件。而该工作所需的一切都已被添加到Rannoh解密工具中。 解密文件,至少应该有一个原始文件。阎罗王勒索软件按照3GB的阈值将文件分为大文件和小文件。这产生了一些必须满足的条件,以便对某些文件进行解密: · 解密小于或等于3 GB的小文件,需要大小为1024字节或更大的文件。 · 解密超过3 GB的大文件,需要不小于3 GB的文件(加密和原始文件)。 基于以上几点,如果原始文件大于3GB,则可以解密受感染系统上的所有文件,无论大小。但如果原始文件小于3 GB,则只能解密小文件。 卡巴斯基解决方案检测并防御此勒索软件,通过文件威胁防护将其检测为Trojan-Ransom.Win32.Yanluowang ,行为检测主动检测为PDM:Trojan.Win32.Generic 。 MD5 尽管如此,对于公司而言,拥有能够即时响应此类勒索软件威胁以避免巨额财务损失的安全解决方案仍然很重要。阎罗王勒索软件被部署在有针对性的人为攻击中。在这种情况下,需要有全面的网络安全策略来防范此类威胁。 除非绝对必要,否则不要将远程桌面服务(如RDP)暴露给公共网络,并且始终使用强密码。 及时安装商业VPN解决方案可用的补丁,为远程员工提供访问权限并充当网络的网关。 始终使所有设备上的软件保持最新状态,以防止勒索软件利用漏洞。 将防御策略重点放在检测横向移动和数据外泄到互联网上,特别注意网络流量,以检测网络罪犯的连接。 定期备份数据,确保可以在紧急情况下快速访问备份。 为了保护企业环境,对员工进行教育和培训。 通过最新的威胁情报信息来了解威胁参与者实际使用的TTP。 使用专业可靠的解决方案,有助于在攻击者实现其目标之前的早期阶段识别和阻止攻击。 |
|
|
