当前位置: 千赢平台官网 > 社会万象 > 正文

DeriaLock勒索木马最新变种分析,国家互联网应急

时间:2019-09-10 14:49来源:社会万象
除了将受害电脑置于凶险境地之外,黑客还利用这些电脑展开DDos攻击。这些电脑同时向一些网站的服务器发送无用的服务请求,导致服务器无法提供正常的网络服务,网站访问也

除了将受害电脑置于凶险境地之外,黑客还利用这些电脑展开DDos攻击。这些电脑同时向一些网站的服务器发送无用的服务请求,导致服务器无法提供正常的网络服务,网站访问也变得异常卡慢。

图片 1

图片 2

分析发现,暗云系列木马程序已具备流量牟利能力,具有互联网黑产盈利特性,有可能对我国互联网稳定运行造成影响。

暗云木马Ⅲ在感染电脑后,会潜伏其中随时随意查看用户的文件资料及IP地址,隐私信息等,电脑的任何文件都暴露在其眼前,而对于格式硬盘消灭木马也不奏效,暗云木马Ⅲ存在于内存,用网络形式随时改变攻击方式,如果是企业电脑遭受入侵,将是前所未有的灾难,因为很多重要核心文件都是电脑保存,如果被窃取泄露将是毁灭性的打击。

图片 3

新华社天津6月13日电国家互联网应急中心发布通报称,近日,暗云木马程序变种正在互联网上快速传播,我国境内已有大量用户被感染。

从WannaCry 勒索病毒到暗云木马Ⅲ,都可以看出数据安全保护已经是全球关注的话题了,而红线科技认为文件数据安全保护的第一步就是安装部署加密保护系统,从文件加密 保护开始。

图片 4

而且,暗云木马并不在本地硬盘上生成文件完成破坏或攻击目的,即用户在本地找不到完成攻击的文件,指令只存在内存中,随时可以通过网络更换攻击方式。即使用户重新格式化硬盘,仍不能将该木马彻底查杀。

文章来自:  转载请注明出处

【编辑推荐】

多家网络安全机构监测分析发现,暗云系列木马会感染磁盘主引导区,黑客可以利用云端指令,实现对染毒电脑的远程控制,用户电脑中的文档、IP地址、图文视频文件等重要信息在黑客眼前均一览无余。

勒索病毒风暴才刚刚结束,暗云木马Ⅲ又开始席卷全球,说到暗云木马病毒,那是在2015年出现的,其特点在于更新频繁,功能复杂,还利用多种手段针对安全软件,让人防不胜防,据统计分析,全球已经有160万台电脑被感染,而中国占据了99%之多。

图片 5

为此,国家互联网应急中心建议用户近期采取积极的安全防范措施:不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;定期在不同的存储介质上备份信息系统业务和个人数据;下载安全软件对暗云木马程序进行检测和查杀。

那么对于企业来说,如何预防并杜绝这种恶意病毒的攻击呢?除了不随意下载安装不明软件之外,最重要的还是采取有效手段进行数据加密保护。其实对于现在的网络攻击手段,普通的物理隔离等手段已经出现了颓势,首先对于这些有组织有手段的病毒入侵,最重要的手段就是在于数据文件加密保护,病毒感染最重要的是窃取用户资料及有利价值文件,如果企业能安装部署加密保护系统做到有规律的数据备份及文件加密保护,就能很好的预防这类事件发生,也能把文件数据泄露风险降到最低。

DeriaLock使用标准的AES256算法对文件进行加密

2017年第五届中国网络安全大会中中国网络空间安全协会副秘书长张健也表示,专门化的团队来做专业的工作,然后形成合力,提前预判、及时响应和实施。从这一点来看,对于文件数据保护采用专业的文件加密软件是最有效的方式。例如部署安装红线隐私保护系统企业版,对重要的文件数据进行加密保护,当文件被窃取或者泄露时,因为没有授权解密权限,所以即使文件丢失也是密文形式,根本就不能被查看其中的真实内容。

图片 6

文件加密保护

图片 7

值得注意的是,解锁指令只是删除自启动,并创建explorer.exe,同时退出自身,被加密过的文件并不会得到解密。

以上是正常的解密流程,如果你不幸被DeriaLock加密了,也不用担心, DeriaLock是可解的。

定时器的时间间隔是1ms,所以在配置差的电脑上会略显卡顿。

DeriaLock由.NET4.5编写,通过时间戳,可以知道,最新变种的更新时间为2016年12月26号。

图片 8

  • Decrypt:解密文件
  • Encrypt:加密文件
  • KillProc:结束进程
  • Main:程序入口点
  • ShowFile:显示被加密文件

对引用到的字符串进行了加密

图片 9

所以我们可以 强制关闭计算机,同时挂上WINPE盘,在启动盘里运行我们的解密工具,对文件进行解密。

通过之前的分析我们可以得知DeriaLock使用AES256对文件进行加密,并且KEY和IV都是唯一的,现在让我们再看看KEY的生成过程.

有意思的一点是, DeriaLock在服务器上拥有一个全局的解锁指令,在Main初始时会创建一个定时器,而这个定时器的作用就是轮询这个指令,如果指令为1,所有被锁屏的电脑都会解锁

由于DeriaLock刚出现不久,加密的强度和广度还不够,对于专业的安全人员来说,可以实现自解密,但对于广大的普通用户来说,保持良好的上网习惯和安装杀毒软件还是有一定必要性的。

图片 10

一、简述

图片 11

图片 12

在加密之前, DeriaLock会计算本机特征码,以确保测试时自己的电脑不被加密。

最近出现了一种名为DeriaLock的新型勒索者木马,在最初版本中,DeriaLock只是一个屏幕锁,在其最新变种中, DeriaLock在屏幕锁的基础上加入了文件加密的功能,被加密的文件后缀为.deria。

IV的生成过程和KEY的是一样的,唯一不同的长度,所以我们完全可以自己写一个解密程序对程序进行解密。

五、解密分析

出于强度的考虑, DeriaLock对关键的函数与变量进行了混淆。

定时器方法:

当你支付赎金之后, DeriaLock会在服务器上添加一个ID.txt文件,其中ID是你的特征码,里面保存着密码,密码与你输入的密码进行比对,正确的话就调用DeCrypt类对文件进行解密。

图片 13

经过分析与反混淆后,DeriaLock由以下5个类组成:

三、锁屏分析

在加密文件时, DeriaLock会连接远程服务器更新其最新版本的,并写入自启。

图片 14

二、对抗分析

六、结论

不同于其他勒索木马只加密特定后缀的文件,DeriaLock会对指定目录下的所有文件进行加密。

图片 15

四、加密分析

C:UsersUserNameDocuments C:UsersUserNameMusic C:UsersUserNamePictures C:UsersUserNameDownloads C:UsersUserNameDesktop D: 

在Main的FormLoad函数中, DeriaLock会创建多个计时器,调用KillProcess类的方法对系统进程进行枚举并结束指定列表的进程。

图片 16

由上可知,DeriaLock在结束explorer.exe进行锁屏之后还对许多系统配置进程与进程管理软件进行了监控,阻止受害者恢复锁屏。

从显示的勒索界面上,我们发现DeriaLock要求受害者在有限的24小时支付30美元的赎金,否则被加密的文件会被删除,如果你强行退出DeriaLock,被加密的文件也会被删除。

KEY和IV向量都是由一个固定的字符串经过SHA512计算生成。

编辑:社会万象 本文来源:DeriaLock勒索木马最新变种分析,国家互联网应急

关键词:

  • 上一篇:没有了
  • 下一篇:没有了