Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Perisian tebusan sentiasa menjadi topik hangat dalam industri keselamatan Baru-baru ini, kakitangan keselamatan menemui perisian tebusan yang dipanggil rapid ini menggunakan RSA dan AES untuk menyulitkan fail yang sudah ada pada beberapa fail juga akan menyulitkan fail yang baru dibuat. Artikel ini menjalankan analisis terperinci tentang virus pantas, menganalisis mekanisme penyulitannya dan menghuraikan fail yang disulitkan.

1.Ikhtisar

Apabila virus pantas berjalan, ia akan mencipta berbilang rangkaian untuk mengimbas sistem fail dan menyulitkan fail secara berterusan komputer Fail sedia ada pada komputer juga akan disulitkan untuk fail yang baru dibuat. Fail yang disulitkan mempunyai sambungan ".rapid" yang ditambahkan pada nama failnya dan saiz fail ditingkatkan sebanyak 0x4D0 bait.

Virus rapid akan mencipta fail nota tebusan bernama "How Recovery Files.txt" dalam folder yang disulitkan, yang mengandungi e-mel Biarkan mangsa menghubungi anda bagaimana untuk menyelesaikan pembayaran. Apabila pengguna memulakan semula komputer, fail gesaan perisian tebusan bernama "recovery.txt" akan muncul secara automatik kandungannya adalah sama dengan kandungan fail "How Recovery Files.txt".

2.Analisis terperinci

Gunakan sistem persepsi ancaman generasi seterusnya LanyEye untuk mengesan program pantas. Di mata Lan, program rapid itu ditandakan sebagai berisiko tinggi:

Seterusnya, program rapid dianalisis secara terbalik.

Pertama, program memanggil ShellExecuteA untuk melaksanakan arahan seperti yang ditunjukkan dalam rajah:

Salin fail pemulihan. Lumpuhkan fungsi pembaikan sistem dan pengubahsuaian automatik Ransomware boleh menyulitkan fail pemacu dan menyebabkan ranap sistem yang kerap. Menamatkan proses oracle.exe, sqlite.exe dan sql.exe boleh, dalam satu tangan, melepaskan memori, dan sebaliknya, melegakan pendudukan fail tertentu oleh proses pangkalan data ini.

Kemudian program menambah item permulaan, dan mencipta Encrypter dan item info pengguna baharu di bawah pendaftaran HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Nilai item Encrypter ialah "%AppDataRomainginfo.exe" dan nilai item userinfo ialah "%AppDatatxtRomaing". Fail "info.exe" ialah salinan program ransomware itu sendiri dan fail "recovery.txt" ialah fail maklumat perisian tebusan Kandungan fail adalah sama dengan fail "How Recovery Files.txt" yang dinyatakan di atas .

Untuk memastikan operasi normal sistem, program tidak akan memilih nama folder " Fail Windows" , "intel", "nvidia", "ProgramData" dan "temp":

Perisian tebusan ini tidak menapis fail mengikut nama akhiran tetapi Tentukan sama ada fail yang dipilih ialah "How Recovery Files.txt", "info.exe", atau "recovery.txt". Jika ia adalah tiga daripada fail, langkau ia dan selebihnya disulitkan sepenuhnya.

2.1.
Proses penyulitan

Program ini adalah yang pertama mencipta bekas CSP jenis PROV_RSA_FULL dan kemudian mengimport kunci awam RSA (bernama RSA1) berkod keras dalam program melalui Base64.

Kemudian program akan menyemak sama ada kunci pendaftaran "local_public_key" wujud. Jika tidak, kunci pendaftaran "local_public_key" akan dibuat

Atur cara mencipta bekas CSP jenis PROV_RSA_FULL dan memanggil CryptGenKey() untuk menjana kunci RSA rawak Kanan (bernama RSA2).

Kemudian panggil CryptExportKey() untuk mengeksport data kunci peribadi RSA2 yang baru dijana dan panggil kunci awam RSA1 untuk menyulitkan kunci peribadi RSA2. Selepas penyulitan selesai, tulis data kunci peribadi RSA pada kunci pendaftaran HKEY_CURRENT_USERSoftwareEncryptKeyslocal_enc_private_key dan tulis panjang data pada kunci pendaftaran HKEY_CURRENT_USERSoftwareEncryptKeyslocal_enc_private_key_len

Panggil CryptExportKey( ) eksport sahaja Data kunci awam RSA2 rawak yang dijana tidak perlu disulitkan kali ini dan ditulis terus ke pendaftaran HKEY_CURRENT_USERSoftwareEncryptKeyslocal_public_key dan HKEY_CURRENT_USERSoftwareEncryptKeyslocal_public_key_len.

Kemudian mula menyulitkan fail dan dapatkan saiz fail yang dipilih Jika saiz fail kurang daripada 0x4D0 bait, masukkan terus proses penyulitan; bait pada akhir data fail, dan tentukan sama ada bahagian data ini ialah tanda penyulitan "F5 D5 CD CD CD 7D CD CD 95 91 C1 C1 CD AD CD CD 41 CD 41 CD C1 99 FD 1D 59 95 81. FD 99 79 25 A5", jika tidak maka Masukkan proses penyulitan, jika tidak pilih fail seterusnya. Oleh kerana fail yang disulitkan lebih besar daripada 0x4D0, dan bendera penyulitan 0x20 bait ditambahkan pada penghujung fail

Selepas atur cara memasuki proses penyulitan, ia akan terlebih dahulu Memanggil CryptGenKey() untuk menjana kunci AES rawak.

dan panggil CryptExportKey() untuk mengeksport data kunci AES, BLOBTYPE=PLAINTEXTKEYBLOB:

Seperti yang ditunjukkan dalam rajah, panjang data ialah 0x2C, 0x3A42A8-0x3A42AF ialah blobheader, 0x3A42B0-0x3A42B3 ialah Saiz Kekunci, 0x3A42B4-0x3A42D3 ialah kunci bagi AES dan 4x3A42D3

Gunakan kunci awam RSA2 untuk menyulitkan kunci AES yang disulitkan ialah keseluruhan data 0x80-bait yang dinyatakan di atas: "Data format BLOB + kunci AES + data padding". :

Baca data fail dan gunakan kekunci AES untuk menyulitkan data fail yang dibaca:

Penyulitan AES dikumpulkan mengikut 128 bit Apabila bilangan bait dalam fail asal bukan gandaan integer 128 bit, data teks sifir yang disulitkan akan lebih besar daripada data teks biasa, jadi atur cara mengisi 0x10 bait 0x00 pada bahagian. akhir teks biasa sebelum penyulitan (Bilangan bait dalam paket AES).

Tulis ganti data yang disulitkan ke fail Mula-mula, hanya data teks sifir saiz fail asal yang ditulis, dan data 0x10-bait yang meningkat ditulis seterusnya; fail Tulis data, tulis data bait 0x4D0. Data bait 0x4D0 ini terdiri daripada lima bahagian: bahagian pertama ialah 0x10 bait, iaitu bahagian kedua ialah 0x20 bait, yang mengandungi rentetan saiz fail sumber dan data padding 0xCD; data kunci AES yang disulitkan; bahagian keempat, 0x400 bait, ialah data kunci peribadi RSA2 yang disulitkan, 0x20 bait, ialah data bendera penyulitan.

Tambah sambungan ".rapid" selepas nama fail:

Tunjukkan Maklumat perisian tebusan

Pada ketika ini, kami telah menganalisis proses penyulitan fail perisian tebusan pantas Seterusnya, mari analisa fail yang disulitkan.

3.

Analisis fail yang disulitkan

Anggapkan bahawa fail dengan saiz 0x9000 bait disulitkan oleh atur cara pantas Struktur fail yang disulitkan adalah seperti berikut:

Virus perisian tebusan pantas menggunakan tandatangan digital (RSA_AES-256) untuk menyulitkan fail Untuk menyahsulit fail, anda perlu mendapatkan kunci peribadi tandatangan digital. Walau bagaimanapun, kunci persendirian tandatangan tatasusunan disulitkan dengan RSA Tanpa kunci persendirian RSA, sukar untuk mendapatkan kunci persendirian tandatangan digital, dan pemulihan fail amat sukar.

2017 ialah tahun kejadian virus ransomware yang tinggi, dan keadaan ini dijangka akan berterusan pada 2018. Setiap daripada kita harus lebih berhati-hati, jangan sekali-kali membuka lampiran daripada peti mel yang mencurigakan, elakkan daripada menggunakan sumber perisian pihak ketiga dan memasang perisian Anti-virus untuk mengurangkan risiko keselamatan.

Atas ialah kandungan terperinci Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!