瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件

1   1  /  1  页   跳转

[转载] 瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件

瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件

近日,瑞星安全专家率先捕获到最新勒索病毒“Prodecryptor”,此病毒与FilesLocker、Satyr、BlackRouter相似,都是使用.net开发,并且加密代码也十分相似,用户一旦中毒文件将无法打开,同时病毒程序会弹出勒索窗口,要求受害者通过电子邮箱联系攻击者,支付一定数量的比特币解密文件。

Prodecryptor勒索病毒使用非对称算法加密,在没有攻击者私钥的情况下无法解密文件。该勒索病毒会加密上百种文件,文件统一加密为.Prodecryptor格式,同时会优先加密C盘下用户目录文件,然后遍历磁盘,并加密文件。

图:加密的文件格式


瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。
目前,瑞星所有个人及企业级产品均可对Prodecryptor勒索病毒进行查杀,瑞星之剑(下载地址:http://www.rising.com.cn/j/)可以有效拦截该勒索病毒。

图:瑞星ESM与瑞星之剑拦截查杀截图


防范措施

  • 不打开陌生或可疑邮件,不下载邮件附件。
  • 浏览网页时不下载运行可疑程序。
  • 及时更新系、漏洞补丁。
  • 不使用弱口令密码。
  • 多台机器不使用相同密码。
  • 安装杀毒软件及时更新病毒库。
  • 安装防勒索软件,防止未知病毒变种加密文件。
最后编辑麦青儿 最后编辑于 2019-05-07 15:45:37
分享到:
gototop
 

回复: 瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件

技术分析

Prodecryptor勒索病毒由.Net编写,通过反编译可以清晰看到程序的执行逻辑。

图:病毒执行代码


程序生成133字节的随机字符串作为AES-32bit的摘要数据块,将作者的RSA公钥导入加密133字节随机字符串数据。

图:RSA加密


计算133字符串的16字节Hash值,将Hash值重复组合为32字节作为AES-KEY来加密文件。

图:AES加密


修改文件的扩展名为Prodecryptor。

图:修改扩展名


优先加密路径:

C:\\Users\\mz\\Desktop
C:\\Users\\mz\\Documents
C:\\Users\\mz\\MusicC:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\History
C:\\Users\\mz\\Downloads
C:\\Users\\mz\\Pictures
C:\\Users\\mz\\Videos
C:\\Users\\mz\\Music
C:\\User\\mz
C:\\Users\\mz\\Favorites
C: \\ProgramData
C:\\Users


获得有效磁盘,对磁盘依次遍历,并加密文件。

图:遍历磁盘加密


创建CMD删除卷影拷贝,"cmd.exe /c vssadmin.exe delete shadows /all /quiet"。

图:删除卷影拷贝


在所有磁盘根目录以及桌面创建勒索文本ReadME-Prodecryptor@gmail.com.txt

图:勒索信息


最后,恶意程序弹窗出一个勒索窗口。

图:加密完成弹窗勒索

最后编辑麦青儿 最后编辑于 2019-05-07 15:48:47
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT