Rumah  >  Artikel  >  Operasi dan penyelenggaraan  >  Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

王林
王林ke hadapan
2023-05-13 18:10:061434semak imbas

Perisian tebusan sentiasa menjadi topik hangat dalam industri keselamatan Baru-baru ini, kakitangan keselamatan menemui perisian tebusan yang dipanggil rapid ini menggunakan RSA dan AES untuk menyulitkan fail yang sudah ada pada beberapa fail juga akan menyulitkan fail yang baru dibuat. Artikel ini menjalankan analisis terperinci tentang virus pantas, menganalisis mekanisme penyulitannya dan menghuraikan fail yang disulitkan.

1.Ikhtisar

Apabila virus pantas berjalan, ia akan mencipta berbilang rangkaian untuk mengimbas sistem fail dan menyulitkan fail secara berterusan komputer Fail sedia ada pada komputer juga akan disulitkan untuk fail yang baru dibuat. Fail yang disulitkan mempunyai sambungan ".rapid" yang ditambahkan pada nama failnya dan saiz fail ditingkatkan sebanyak 0x4D0 bait.

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Virus rapid akan mencipta fail nota tebusan bernama "How Recovery Files.txt" dalam folder yang disulitkan, yang mengandungi e-mel Biarkan mangsa menghubungi anda bagaimana untuk menyelesaikan pembayaran. Apabila pengguna memulakan semula komputer, fail gesaan perisian tebusan bernama "recovery.txt" akan muncul secara automatik kandungannya adalah sama dengan kandungan fail "How Recovery Files.txt".

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

2.Analisis terperinci

Gunakan sistem persepsi ancaman generasi seterusnya LanyEye untuk mengesan program pantas. Di mata Lan, program rapid itu ditandakan sebagai berisiko tinggi:

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Seterusnya, program rapid dianalisis secara terbalik.

Pertama, program memanggil ShellExecuteA untuk melaksanakan arahan seperti yang ditunjukkan dalam rajah:

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid Salin fail pemulihan. Lumpuhkan fungsi pembaikan sistem dan pengubahsuaian automatik Ransomware boleh menyulitkan fail pemacu dan menyebabkan ranap sistem yang kerap. Menamatkan proses oracle.exe, sqlite.exe dan sql.exe boleh, dalam satu tangan, melepaskan memori, dan sebaliknya, melegakan pendudukan fail tertentu oleh proses pangkalan data ini.

Kemudian program menambah item permulaan, dan mencipta Encrypter dan item info pengguna baharu di bawah pendaftaran HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Nilai item Encrypter ialah "%AppDataRomainginfo.exe" dan nilai item userinfo ialah "%AppDatatxtRomaing". Fail "info.exe" ialah salinan program ransomware itu sendiri dan fail "recovery.txt" ialah fail maklumat perisian tebusan Kandungan fail adalah sama dengan fail "How Recovery Files.txt" yang dinyatakan di atas .

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Bagaimana untuk menganalisis dan mengesan virus ransomware RapidUntuk memastikan operasi normal sistem, program tidak akan memilih nama folder " Fail Windows" , "intel", "nvidia", "ProgramData" dan "temp":

Bagaimana untuk menganalisis dan mengesan virus ransomware RapidPerisian tebusan ini tidak menapis fail mengikut nama akhiran tetapi Tentukan sama ada fail yang dipilih ialah "How Recovery Files.txt", "info.exe", atau "recovery.txt". Jika ia adalah tiga daripada fail, langkau ia dan selebihnya disulitkan sepenuhnya.

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid2.1.
Proses penyulitan

Bagaimana untuk menganalisis dan mengesan virus ransomware RapidProgram ini adalah yang pertama mencipta bekas CSP jenis PROV_RSA_FULL dan kemudian mengimport kunci awam RSA (bernama RSA1) berkod keras dalam program melalui Base64.


Bagaimana untuk menganalisis dan mengesan virus ransomware RapidKemudian program akan menyemak sama ada kunci pendaftaran "local_public_key" wujud. Jika tidak, kunci pendaftaran "local_public_key" akan dibuat

Bagaimana untuk menganalisis dan mengesan virus ransomware RapidAtur cara mencipta bekas CSP jenis PROV_RSA_FULL dan memanggil CryptGenKey() untuk menjana kunci RSA rawak Kanan (bernama RSA2).

Kemudian panggil CryptExportKey() untuk mengeksport data kunci peribadi RSA2 yang baru dijana dan panggil kunci awam RSA1 untuk menyulitkan kunci peribadi RSA2. Selepas penyulitan selesai, tulis data kunci peribadi RSA pada kunci pendaftaran HKEY_CURRENT_USERSoftwareEncryptKeyslocal_enc_private_key dan tulis panjang data pada kunci pendaftaran HKEY_CURRENT_USERSoftwareEncryptKeyslocal_enc_private_key_len

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Panggil CryptExportKey( ) eksport sahaja Data kunci awam RSA2 rawak yang dijana tidak perlu disulitkan kali ini dan ditulis terus ke pendaftaran HKEY_CURRENT_USERSoftwareEncryptKeyslocal_public_key dan HKEY_CURRENT_USERSoftwareEncryptKeyslocal_public_key_len.

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Kemudian mula menyulitkan fail dan dapatkan saiz fail yang dipilih Jika saiz fail kurang daripada 0x4D0 bait, masukkan terus proses penyulitan; bait pada akhir data fail, dan tentukan sama ada bahagian data ini ialah tanda penyulitan "F5 D5 CD CD CD 7D CD CD 95 91 C1 C1 CD AD CD CD 41 CD 41 CD C1 99 FD 1D 59 95 81. FD 99 79 25 A5", jika tidak maka Masukkan proses penyulitan, jika tidak pilih fail seterusnya. Oleh kerana fail yang disulitkan lebih besar daripada 0x4D0, dan bendera penyulitan 0x20 bait ditambahkan pada penghujung fail

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Selepas atur cara memasuki proses penyulitan, ia akan terlebih dahulu Memanggil CryptGenKey() untuk menjana kunci AES rawak.

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

dan panggil CryptExportKey() untuk mengeksport data kunci AES, BLOBTYPE=PLAINTEXTKEYBLOB:

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Seperti yang ditunjukkan dalam rajah, panjang data ialah 0x2C, 0x3A42A8-0x3A42AF ialah blobheader, 0x3A42B0-0x3A42B3 ialah Saiz Kekunci, 0x3A42B4-0x3A42D3 ialah kunci bagi AES dan 4x3A42D3

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid
Gunakan kunci awam RSA2 untuk menyulitkan kunci AES yang disulitkan ialah keseluruhan data 0x80-bait yang dinyatakan di atas: "Data format BLOB + kunci AES + data padding". :

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid
Baca data fail dan gunakan kekunci AES untuk menyulitkan data fail yang dibaca:

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid
Penyulitan AES dikumpulkan mengikut 128 bit Apabila bilangan bait dalam fail asal bukan gandaan integer 128 bit, data teks sifir yang disulitkan akan lebih besar daripada data teks biasa, jadi atur cara mengisi 0x10 bait 0x00 pada bahagian. akhir teks biasa sebelum penyulitan (Bilangan bait dalam paket AES).

Tulis ganti data yang disulitkan ke fail Mula-mula, hanya data teks sifir saiz fail asal yang ditulis, dan data 0x10-bait yang meningkat ditulis seterusnya; fail Tulis data, tulis data bait 0x4D0. Data bait 0x4D0 ini terdiri daripada lima bahagian: bahagian pertama ialah 0x10 bait, iaitu bahagian kedua ialah 0x20 bait, yang mengandungi rentetan saiz fail sumber dan data padding 0xCD; data kunci AES yang disulitkan; bahagian keempat, 0x400 bait, ialah data kunci peribadi RSA2 yang disulitkan, 0x20 bait, ialah data bendera penyulitan.

Tambah sambungan ".rapid" selepas nama fail: Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Tunjukkan Maklumat perisian tebusan Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

Pada ketika ini, kami telah menganalisis proses penyulitan fail perisian tebusan pantas Seterusnya, mari analisa fail yang disulitkan.

Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid3.

Analisis fail yang disulitkan

Anggapkan bahawa fail dengan saiz 0x9000 bait disulitkan oleh atur cara pantas Struktur fail yang disulitkan adalah seperti berikut:

Virus perisian tebusan pantas menggunakan tandatangan digital (RSA_AES-256) untuk menyulitkan fail Untuk menyahsulit fail, anda perlu mendapatkan kunci peribadi tandatangan digital. Walau bagaimanapun, kunci persendirian tandatangan tatasusunan disulitkan dengan RSA Tanpa kunci persendirian RSA, sukar untuk mendapatkan kunci persendirian tandatangan digital, dan pemulihan fail amat sukar. Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid

2017 ialah tahun kejadian virus ransomware yang tinggi, dan keadaan ini dijangka akan berterusan pada 2018. Setiap daripada kita harus lebih berhati-hati, jangan sekali-kali membuka lampiran daripada peti mel yang mencurigakan, elakkan daripada menggunakan sumber perisian pihak ketiga dan memasang perisian Anti-virus untuk mengurangkan risiko keselamatan.

Atas ialah kandungan terperinci Bagaimana untuk menganalisis dan mengesan virus ransomware Rapid. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Artikel ini dikembalikan pada:yisu.com. Jika ada pelanggaran, sila hubungi admin@php.cn Padam