Rapid ランサムウェア ウイルスを分析および検出する方法

ランサムウェアは、セキュリティ業界で常にホットな話題です。最近、セキュリティ担当者は、rapid と呼ばれるランサムウェアを発見しました。このランサムウェアは、RSA と AES を使用してファイルを暗号化します。コンピュータ上の既存のファイルに感染するだけではありません。一部のファイルは、新しく作成されたファイルも暗号化します。この記事では、Rapid ウイルスの詳細な分析を実施し、その暗号化メカニズムを分析し、暗号化されたファイルを解析します。

1.概要

Rapid ウイルスが実行されると、複数のスレッドを作成してファイル システムを継続的にスキャンし、ファイルを暗号化します。コンピュータ コンピュータ上の既存のファイルは、新しく作成されたファイルについても暗号化されます。暗号化されたファイルには、ファイル名に「.rapid」拡張子が追加され、ファイル サイズが 0x4D0 バイト増加します。

Rapid ウイルスは、電子メールを含む暗号化フォルダーに「How Recovery Files.txt」という名前の身代金メモ ファイルを作成します。被害者に連絡させます。支払いを完了する方法について。ユーザーがコンピュータを再起動すると、「recovery.txt」という名前のランサムウェア プロンプト ファイルが自動的にポップアップ表示されます。その内容は、「How Recovery Files.txt」ファイルの内容と同じです。

2.詳細な分析

LanyEye 次世代脅威認識システムを使用して、迅速なプログラムを検出します。 Lan の目には、迅速なプログラムは高リスクとしてマークされました。

次に、迅速なプログラムの逆分析を実行します。

まず、プログラムは ShellExecuteA を呼び出して、図に示すコマンドを実行します。

主な機能には、Windows ボリュームのシャドウ コピーのクリアと防止が含まれます。シャドウ ボリュームの使用によって被害者が被害を受ける場合は、リカバリ ファイルをコピーします。システム修復および自動変更機能を無効にします。ランサムウェアはドライバー ファイルを暗号化し、頻繁にシステム クラッシュを引き起こす可能性があります。修復機能を無効にし、エラーを無視して、システム クラッシュの可能性を減らします。 oracle.exe、sqlite.exe、および sql.exe プロセスを終了すると、一方ではメモリが解放され、他方ではこれらのデータベース プロセスによる特定のファイルの占有が解放されます。

次に、プログラムはスタートアップ項目を追加し、レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run の下に新しい Encrypter 項目と userinfo 項目を作成します。Encrypter 項目の値は "%AppData\Romaing\info.exe" です。 ", userinfo キーの値は "%AppData\Romaing\recovery.txt" です。 「info.exe」ファイルはランサムウェアプログラムそのもののコピー、「recovery.txt」ファイルはランサムウェア情報ファイルであり、ファイルの内容は上記の「How Recovery Files.txt」ファイルと同じです。 。

システムが正常に動作できるようにするため、プログラムはフォルダー名を選択しません。 Windows"、"intel"、"nvidia"、"ProgramData"、および "temp" ファイル:

このランサムウェアはサフィックス名でファイルをフィルタリングしませんが、選択したファイルは「How Recovery Files.txt」、「info.exe」、または「recovery.txt」です。ファイルが 3 つある場合はスキップすると、残りは完全に暗号化されます。

2.1.暗号化プロセス

プログラムが最初ですPROV_RSA_FULL タイプの CSP コンテナを作成し、Base64 経由でプログラムにハードコーディングされた RSA 公開キー (RSA1 という名前) をインポートします。

次に、プログラムはレジストリ キー「local_public_key」が存在するかどうかを確認します。そうでない場合は、レジストリ キー "local_public_key" が作成されます。

プログラムは、タイプ PROV_RSA_FULL の CSP コンテナを作成し、CryptGenKey() を呼び出してランダムな RSA キーを生成します。右 (RSA2 という名前)。

次に、CryptExportKey() を呼び出して、生成されたばかりの RSA2 秘密鍵データをエクスポートし、RSA1 公開鍵を呼び出して RSA2 秘密鍵を暗号化します。暗号化が完了したら、RSA 秘密キーのデータをレジストリ キー HKEY_CURRENT_USER\Software\EncryptKeys\local_enc_private_key に書き込み、データ長をレジストリ キー HKEY_CURRENT_USER\Software\EncryptKeys\local_enc_private_key_len

# に書き込みます。

##CryptExportKey() を再度呼び出して、生成されたランダムな RSA2 公開キー データをエクスポートします。今回は暗号化は必要なく、レジストリ HKEY_CURRENT_USER\Software\EncryptKeys\local_public_key および HKEY_CURRENT_USER\Software に直接書き込まれます。 \EncryptKeys\local_public_key_len。

その後、ファイルの暗号化を開始し、選択したファイルのサイズを取得します。ファイル サイズが 0x4D0 バイト未満の場合は、直接暗号化プロセスに入ります。それ以外の場合は、ファイルの末尾にある 0x20 バイトのデータを調べ、データのこの部分が暗号化マーク「F5 D5 CD CD CD 7D CD CD 95 91 C1 C1 CD AD CD CD 41 CD 41 CD C1 99 FD 1D 59 95」であるかどうかを判断します。 81 FD 99 79 25 A5"、そうでない場合は暗号化プロセスに入り、そうでない場合は次のファイルを選択します。暗号化されたファイルは 0x4D0 より大きく、0x20 バイトの暗号化フラグがファイルの末尾に追加されるため、

プログラムが暗号化プロセスに入った後、まず CryptGenKey() を呼び出して、ランダムな AES キーを生成します。

そして、CryptExportKey() を呼び出して、AES キー データ、BLOBTYPE=PLAINTEXTKEYBLOB をエクスポートします。

図に示すように、返されるデータ長は 0x2C、0x3A42A8-0x3A42AF は BLOBHEADER、0x3A42B0-0x3A42B3 はキーサイズ、0x3A42B4-0x3A42D3 は AES キー、0x3A42D4-0x3A4327 は 0xCD で埋められたデータです。

RSA2 公開鍵を使用して AES キーを暗号化します。暗号化されるのは、上記の「BLOB 形式データ AES キー パディング データ」の 0x80 バイトのデータ全体です。

ファイル データを読み取り、AES キーを使用して読み取ったファイル データを暗号化します:

AES 暗号化は 128 ビットに従ってグループ化されます。元のファイルのバイト数が 128 ビットの整数倍ではない場合、暗号化された暗号文データは平文データより大きくなるため、プログラムは 0x00 の 0x10 バイトを埋めます ( AES パケット内のバイト数）。

暗号化データをファイルに上書きします。最初は元のファイル サイズの暗号文データのみが書き込まれ、次に増加した 0x10 バイトのデータが書き込まれます。

引き続きファイルに書き込みます。 file データを書き込み、0x4D0 バイトのデータを書き込みます。この 0x4D0 バイト データは 5 つの部分で構成されます: 最初の部分は可変データである 0x10 バイト、2 番目の部分はソース ファイル サイズ文字列と 0xCD パディング データを含む 0x20 バイト、3 番目の部分は 0x80 ワードです。暗号化された AES キー データ、4 番目の部分 0x400 バイトは暗号化された RSA2 秘密キー データ、5 番目の部分 0x20 バイトはファイル暗号化フラグ データです。

ファイル名の後に「.rapid」拡張子を追加します:

ランサムウェア情報を表示します

これまで、ラピッド ランサムウェアのファイル暗号化プロセスを分析しましたが、次に、暗号化されたファイルを分析しましょう。

3.

暗号化ファイルの解析

サイズ 0x9000 バイトのファイルがラピッド プログラムによって暗号化されていると仮定します。暗号化されたファイルの構造は次のとおりです。

Rapid Ransomware ウイルスは、デジタル署名 (RSA_AES-256) を使用してファイルを暗号化します。ファイルを復号化するには、デジタル署名の秘密キーを取得する必要があります。しかし、配列署名の秘密鍵はRSAで暗号化されており、RSA秘密鍵がなければデジタル署名の秘密鍵を取得することが困難であり、ファイルの復元は非常に困難です。

2017 年はランサムウェア ウイルスの発生率が高かった年であり、この状況は 2018 年も続くことが予測されます。私たち一人一人がより警戒し、疑わしいメールボックスの添付ファイルを開かないようにし、サードパーティのソフトウェア リソースの使用を避け、セキュリティリスクを軽減するためにウイルス対策ソフトウェアをインストールしてください。

以上がRapid ランサムウェア ウイルスを分析および検出する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。