auchentoshan後綴勒索病毒自2019年3月初開始爆發,我們陸續接收到中此病毒報告,不斷有客戶諮詢我們。經過我們緊急分析,發現此病毒使用的加密技術與GlobeImposter 3.0一樣,爲同一個病毒程序作者製作。病毒使用了RSA+AES加密方式。
具體的加密過程爲:勒索病毒首先解碼出一個內置的RSA公鑰(hacker_rsa_pub),同時對每個受害用戶,使用RSA生成公私鑰(user_rsa_pub和user_rsa_pri),其中生成的密鑰信息使用內置的RSA公鑰(hacker_rsa_Public)進行加密後,做爲用戶ID。在遍歷系統文件,對符合加密要求的文件進行加密。對每個文件,通過CoCreateGuid生成一個唯一標識符,並由該唯一標識符最終生成AES密鑰(記爲file_aes_key),對文件進行加密。在加密文件的過程中,該唯一標識符會通過RSA公鑰 (user_rsa_pub) 加密後保存到文件中。
***在收到贖金、用戶ID和文件後,通過自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,進而可以通過AES算法解密出原始文件。
病毒主要還是***開放了微軟自帶的遠程桌面,通過暴力破解方式遠程操控***的服務器,進而運行病毒加密程序,加密除系統windows文件外夾的所有文件。
最廉價及最好的防護措施就是,關閉外網遠程桌面,定期備份數據。基本上只要做好這兩點,就不怕再中任何服務器勒索病毒。
auchentoshan後綴勒索病毒
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
Coprime Sequence HDU - 6025
白黑菜
2020-07-03 20:00:38
Linux批量添加或修改文件後綴名稱
风情客家__
2020-06-25 23:28:23
[PHP]獲取文件名和文件後綴
Balmunc
2020-05-08 02:18:50
ABC164 D.Multiple of 2019
陆小萌
2020-04-28 04:03:22
Qt .pro文件之defineReplace函數的用法,實現lib文件名自動添加後綴"d"
libaineu2004
2020-04-21 13:23:47
英語單詞之說文解字(7)
刘炫320
2020-04-19 06:56:53
spring boot 請求後綴匹配
xutatu
2020-02-24 07:04:19
LeetCode Evaluate Reverse Polish Notation
gavinfish
2020-02-23 13:51:45
PHP 中獲取文件擴展名小結
php小学徒
2020-02-21 15:22:35
Mac 常見擴展名
ShenYuanLuo
2020-02-21 14:40:42
中綴表達式轉後綴表達式
eskimoer
2020-02-21 01:10:47
中綴轉後綴表達式並求值
hackfreer
2019-07-19 14:47:07
提防人工勒索軟件活動:Microsoft
jiwenxi
2020-05-01 17:23:02