勒索病毒冲着企业服务器来了 CSO们怕了么?
发布时间:2018-07-09 05:34:14 所属栏目:教程 来源:腾讯御见
导读:副标题#e# 【资讯】 一、背景 近期,针对Windows服务器攻击的勒索病毒持续传播,尤其是2018年年初国内数家机构服务器被GlobeImpsoter勒索病毒攻击,导致业务大面积瘫痪,这引起了大家对服务器安全的关注。 根据腾讯御见威胁情报中心监控,每周都有企业Windo
|
用户ID的生成算法为:勒索病毒首先通过RSA-1024生成用户公私钥(user_rsa_pub和user_rsa_pri),将生成的密钥中的rsa.P与rsa.Q拼接上“.TRUE.HOWBACKFILE”等内容后,使用内置的公钥(hacker_rsa_pub)加密,结果作为用户ID,同时,生成的公钥(user_rsa_pub)会做为后面遍历文件系统时的加密key使用。 可见,该用户ID也经过了RSA公钥(hacker_rsa_pub)的加密,在没有私钥(hacker_rsa_pri)的情况下,很难还原出RSA-1024的密钥内容。 5)文件加密过程 通过GetLogicalDrives得到盘符信息,对每个盘符开启一个线程进行加密,每个线程函数的参数包含三部分内容:当前盘符路径,加密key(user_rsa_pub),用户ID。 判断文件路径是不是属于排除路径: 函数sub_4094D9会实现对文件的加密,对文件的加密使用的是AES加密算法。下面将详细介绍该函数的过程。 AES加密的KEY通过CoCreateGuid生成,CoCreateGuid函数功能为生成全局唯一标识符,勒索病毒使用该全局唯一标识符做为secret_key,secret_key用来生成AES的加密key.。 AES加密时的IV参数由当前文件的大小和文件路径共同生成。IV参数将MD(filesize||filename)后取前16位。 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
