前沿拓展:
近几年来,勒索**蔓延态势日益严峻,全球成千上万的服务器、数据库遭受入侵破坏。其中,Phobos勒索**家族以常年作恶多端而臭名昭著。360安全大脑发布的《2020年6月勒索****分析》显示,就在刚刚过去的六月中,Phobos勒索**家族以21.79%的占比,再度斩获6月勒索**占比榜单亚军,其惊人破坏力可见一斑。
作为勒索“悍匪”中的老牌劲旅,Phobos勒索**首次出现于 2018 年 12 月,因当时会在加密文件后添加后缀名Phobos而得名。和大多勒索**相同,之前国内的Phobos勒索**主要通过利用开放或不安全的远程桌面协议RDP,来进行传播感染。
而在近日,360安全大脑监测到Phobos勒索**新变种现身网络,该**以系统激活工具等软件作为载体,诱导用户下载安装后入侵受害者电脑,窃取用户机器信息,并进一步通过木马C&C服务器下载加密勒索相关程序,实施比特币勒索。在短短一周多的时间里,该变种就已传播感染十余个国家。
目前,在360安全大脑的极智赋能下,360安全卫士可有效拦截查杀该勒索**变种,建议广大用户尽快下载安装最新版360安全卫士,全面保障个人隐私及财产安全。
在加密文件的过程中,从AndroidStudio.dll资源段解密并加载的exe程序,会负责实质上的加密任务,其包含的功能有:文件占用解除,“RSA+AES”算法加密等。
勒索**变种第一通过进程快照枚举当前进程,并通过进程名匹配,结束掉可能造成文件占用从而影响加密的40余个进程。
**变种结束指定进程解除文件占用
随后木马会扫描当前机器的网络共享磁盘和本地磁盘,准备进行文件加密。
扫描当前机器的UNC网络共享磁盘和本地磁盘
**会通过AES256算法为网络共享磁盘和本地磁盘生成32字节的AES密钥。然而实际上该密钥只有前16字节是以时间为因子和SHA256摘要算法获取的随机值,而后16字节取自**内置的攻击者RSA公钥的第17-32字节。
**变种生成的AES密钥
对于生成的32字节AES密钥,**使用RSA算法对其进行加密,被加密内容包含AES密钥,磁盘序列号,伪随机数等在内共128字节。
RSA加密 AES密钥
开始文件加密前,**第一判断待加密文件大小。如果文件小于0x180000字节(即1.5Mb)或待加密文件被标记为全加密文件类型,则phobos将待加密文件全部加密;否则只加密文件的部分内容。
判断文件大小区别加密方式
对于全加密文件,该**变种第一创建一个新文件,并为原始文件名拼接上加密文件特定后缀名。第二依次读取待加密文件数据到内存,使用AES随机密钥和16字节的随机初始变量进行CBC模式加密,并将加密内容依次写入新创建文件。
文件数据加密完成后,其会在新文件尾部追加密钥、原文件等相关数据共0xF0个字节,该文件尾主要包含以下内容:已加密原文件名在内的64字节, AES加密初始向量IV,已经RSA加密的AES加密密钥和系统磁盘序列号,占用4字节的尾部空间大小标记(0xF0),以及疑似标志Phobos**版本号的6字节常量值。
文件全加密
全加密文件的文件尾数据
对于部分加密文件,**从待加密文件中读取3次0x40000字节大小的数据片段,再加之常量和校验值,采用与全加密相同的加密算法进行数据加密,第二写入加密后数据到文件尾部,并清空被加密的原始数据片段。
文件部分加密
值得一提的是,近半年来,勒索**的蔓延势头愈加强劲,诸如Phobos勒索**变种的新型勒索**相继涌现,不仅入侵方式更隐蔽,传播速度更迅速,同时破坏效果也更加令人震惊。因此,广大用户需时刻提高防护意识,做好安全防御措施。
不过广大用户无需过分担心,在360安全大脑的极智赋能下,360安全卫士目前已可有效拦截查杀该勒索**变种。为全面保障广大用户的个人隐私及财产安全,净化网络环境,360安全大脑给出以下几点安全建议:
1、前往weishi.360.cn下载安装360安全卫士,并保持360安全卫士进程的常驻,可有效防护各类勒索**威胁;
2、提高个人网络安全意识,不轻易从各下载站下载所谓的“免费”激活工具等软件。建议从软件官网,360软件管家等正规渠道下载安装软件,对于被360安全卫士拦截的不熟悉的软件,不要继续运行和添加信任。
Md5:
01f6d86a3e0050cb116ad4f16f12a420
1e9d15d0e69d2ddaa1201eeb9859645e
7f572cad5b68d5b32e330aca579152ae
1c4e0d89e074f8fd8190a3887c378ed9
f4b5c1ebf4966256f52c4c4ceae87fb1
ac5f2c74c8c86f4c6914e646cf7ae975
9e6b25770a41c39721dd3753e7924697
636a3d5759907f7a3261beac3f75ca6a
89cae80db18a87076fb59c2deff65b66
URLs:
hxxp://boundertime.ru/pps.ps1
hxxp://marcakass.ug/ac.exe
hxxp://marcakass.ug/rc.exe
hxxp://marcakass.ug/ds1.exe
hxxp://marcakass.ug/ds2.exe
hxxp://evanhopping.com/Zbixrpx.exe
拓展知识:
360顽固木马
360顽固木马专杀大全是一款无需安装的绿色软件。当电脑已感染木马,导致360安全卫士无法安装或启动时,请使用本软件进行木马查杀和修复
360顽固木马
楼上乱讲…只是杀木**.不能杀**..更不能修漏洞..清理垃圾也不行!这都要配合360安全卫士.
这个软件只能杀木马..而且是流行木马~~
原创文章,作者:九贤生活小编,如若转载,请注明出处:http://www.wangguangwei.com/75041.html