中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?| 硬创公开课
|
密钥块第 33 字节起存放系统序列号,用作服务器的唯一标识符。之后的 128 字节存放 RSA 加密后的随机数密钥,而 RSA 公钥的 SHA-1 值则存放在最末端的 20 字节中。
密钥块生成过程
密钥块分布图 密钥块产生之后,程序会将密钥块中部分内容以及其他系统信息以 POST 的方式发送至黑客的服务器上。每个字段的标识及参数值如下表所示。
发送的数据 除了在加密文件之前发送数据,在加密完成后也会再次向黑客服务器发送数据,两者用函数最后一个参数作区别,当最后一个参数为 0 时表示即将进行加密,为 1 时表示加密完成,参数不同带来的结果是 POST 数据的目的地址不同。
两次发送数据 之后程序开始进行加密,由两个线程完成加密工作,其中一个线程枚举网络资源并对获取的共享文件进行加密,另一个线程加密本地文件。
枚举网络资源并加密 加密本地文件的线程中,通过枚举磁盘中的文件并判断文件后缀来确定需要加密的文件路径,完成文件路径的确认后,程序开启四个子线程进行加密。由于父线程负责传递文件路径给子线程以及开启子线程进行加密,如果只创建一个子线程进行加密,当子线程由于某些原因无法返回时,父线程将无法继续执行下去,这会导致父线程无法传递下一个文件路径并且无法再创建新的子线程。而开启四个子线程进行加密时,只需保证其中一个线程正常返回即可继续下一轮加密。
开启四个线程进行加密 加密的第一步是判断文件大小。当文件大小大于 0x180000 字节时,直接对文件内容进行加密,并将文件重命名;当文件大小小于等于 0x180000 字节时,则创建新文件并加密旧文件内容后写入新文件,之后删除旧文件。
根据文件大小选择加密方案 之后程序使用之前生成的随机数初始化 AES 密钥,加密文件内容。加密完成后需要在文件尾部写入信息,以供黑客解密文件时使用。 对于大小小于等于 0x180000 字节的文件,按照如下图所示的方法在文件尾部写入信息。
文件大小小于0x180000字节时写入文件头的数据 对于文件大小大于 0x180000 字节的文件,按照如下图所示的方法在文件尾部写入数据。
文件大小小于0x180000字节时写入文件头的数据 至此,加密完成。被加密的文件类型包括 exe,dll,doc,docx,pdf,xls,xlsx,ppt,zip,rar,bz2,7z,dbf,1cd,jpg 。 如果要解密被加密的文件的话,我们需要获取到随机生成的文件加密密钥,而这个文件加密密钥被 RSA 加密之后,保存到了文件头中,只有获取到 RSA 的私钥,解开这段数据,才能实现解密,这是一个大致的加密流程,细节还有很多。 三、如何对抗勒索木马 1.你们在技术上有什么对抗方法?王亮:对抗主要有四个方面:源头,木马落地,木马行为,和事后处理。 1) 源头方面:我们对来自于网页漏洞的挂马有网盾防护,对于邮件附件,我们的下载安全也能有效保护,力争从源头直接阻断木马的入侵。 2) 木马落地:这一步主要依靠我们的各类引擎,我们的云 QVM 、 AVE 有对敲诈者病毒的专门学习,能够有效检出市面上现存的各类变种。 3) 木马行为:我们在主动防御系统中加入了对文档加密类程序的行为特征分析,一旦发现行为符合勒索木马加密文件的行为,便会拦截这一行为并通知用户查杀。 4) 事后处理:我们现在还推出了针对这种勒索木马的“反勒索服务”,如果用户在 360 的安全防护之下依然中了勒索木马,我们协助用户恢复文档,甚至不排除帮用户交付赎金。最大限度的降低用户损失。我们有专门的团队分析这类木马,对能够解密的木马,我们也开发了解密工具,用户无需支付赎金就能够解密文件。 2.中了勒索木马后,到底会带来什么危害?王亮:对于每个人来说,计算机中的文档数据价值各有不同。以实际收到的用户反馈案例看,我们接到的一些个人用户受到的损失如下: 曾经有一位老教授,编写了多年的文稿,大量的资料都被加密,那是他十几年的心血。而当时敲诈者留下的联系方式已经失效,想支付赎金解密都没有办法。最后还好在另外一台计算机中有几个月前的一部分备份,才减小了一部分损失。 还有一个案例是有个大四学生,而被加密的文档包括他辛辛苦苦完成的论文——如果无法解密甚至可能影响到该学生的毕业。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
