勒索病毒冲着企业服务器来了 CSO们怕了么？

　　将IV和secretkey使用MBEDTLS_MD_SHA256计算8192次HASH，并将HASH结果做为AES加密的KEY

　　随后，使用内置的RSA公钥将guid进行加密，并将加密过的guid及用户ID写入到当前文件中。

　　最后，使用AES算法将文件内容加密。

　　AES加密算法过程如下：

　　6)自启动

　　勒索病毒通过在RunOnce注册表下新建名为BrowserUpdateCheck的键值，达到开机自启动的目的。部分代码如下

　　7)自删除

　　通过调用CMD/cdel来实现自删除，部分代码如下

　　8)删除远程桌面连接信息及事件日志

　　解密bat文件后释放到临时目录下，并加载运行

　　解密出来的bat文件内容如下

　　Bat会删除远程桌面连接信息文件default.rdp，并通过wevtutil.execl命令删除日志信息

　　四、Crysis样本分析

　　1.病毒通过自建IAT的方式，运行后首先解密需要使用的动态库，API字串，随后通过LoadLibraryA，GetProcAddress循环遍历来动态获取解析使用的API，获取函数地址后填充IAT表，随后病毒所有的API调用均使用：

　　MOVEAX,[IAT-FUN-ADDR]

　　jmp004066c0

　　004066c0：CallEAX

　　的方式来间接调用，这样做也导致了静态分析情况下导入表中无法看到病毒调用相关敏感Api。

　　2.运行后的病毒首先会关闭以下大量服务，来确保待加密文件不被占用，加密文件时不会产生异常。

　　3.同时结束下列进程，主要为数据库相关进程，其目的也是为了防止加密文件被占用，从关闭的进程列表也可看出，病毒主要攻击使用sqlserver，mysql数据库的服务器。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!