瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件
麦青儿 - 2019-5-7 15:43:00
近日,瑞星安全专家率先捕获到最新勒索病毒“Prodecryptor”,此病毒与FilesLocker、Satyr、BlackRouter相似,都是使用.net开发,并且加密代码也十分相似,用户一旦中毒文件将无法打开,同时病毒程序会弹出勒索窗口,要求受害者通过电子邮箱联系攻击者,支付一定数量的比特币解密文件。

Prodecryptor勒索病毒使用非对称算法加密,在没有攻击者私钥的情况下无法解密文件。该勒索病毒会加密上百种文件,文件统一加密为.Prodecryptor格式,同时会优先加密C盘下用户目录文件,然后遍历磁盘,并加密文件。

图:加密的文件格式


瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。
目前,瑞星所有个人及企业级产品均可对Prodecryptor勒索病毒进行查杀,瑞星之剑(下载地址:http://www.rising.com.cn/j/)可以有效拦截该勒索病毒。

图:瑞星ESM与瑞星之剑拦截查杀截图


防范措施

麦青儿 - 2019-5-7 15:43:00
技术分析

Prodecryptor勒索病毒由.Net编写,通过反编译可以清晰看到程序的执行逻辑。

图:病毒执行代码


程序生成133字节的随机字符串作为AES-32bit的摘要数据块,将作者的RSA公钥导入加密133字节随机字符串数据。

图:RSA加密


计算133字符串的16字节Hash值,将Hash值重复组合为32字节作为AES-KEY来加密文件。

图:AES加密


修改文件的扩展名为Prodecryptor。

图:修改扩展名


优先加密路径:

C:\\Users\\mz\\Desktop
C:\\Users\\mz\\Documents
C:\\Users\\mz\\MusicC:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\History
C:\\Users\\mz\\Downloads
C:\\Users\\mz\\Pictures
C:\\Users\\mz\\Videos
C:\\Users\\mz\\Music
C:\\User\\mz
C:\\Users\\mz\\Favorites
C: \\ProgramData
C:\\Users


获得有效磁盘,对磁盘依次遍历,并加密文件。

图:遍历磁盘加密


创建CMD删除卷影拷贝,"cmd.exe /c vssadmin.exe delete shadows /all /quiet"。

图:删除卷影拷贝


在所有磁盘根目录以及桌面创建勒索文本ReadME-Prodecryptor@gmail.com.txt

图:勒索信息


最后,恶意程序弹窗出一个勒索窗口。

图:加密完成弹窗勒索

314698711@qq.com - 2019-5-8 11:05:00
剑能防:kaka16:
1
查看完整版本: 瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件