日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

勒索軟件在不斷地變化發(fā)展，攻擊者會(huì)使用各種方式敲詐目標(biāo)支付贖金，如今它不僅僅是加密數(shù)據(jù)，同時(shí)也會(huì)造成數(shù)據(jù)泄露。

創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營(yíng)銷(xiāo)，包括網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站制作、SEO優(yōu)化、網(wǎng)絡(luò)推廣、整站優(yōu)化營(yíng)銷(xiāo)策劃推廣、電子商務(wù)、移動(dòng)互聯(lián)網(wǎng)營(yíng)銷(xiāo)等。創(chuàng)新互聯(lián)為不同類(lèi)型的客戶(hù)提供良好的互聯(lián)網(wǎng)應(yīng)用定制及解決方案，創(chuàng)新互聯(lián)核心團(tuán)隊(duì)十年專(zhuān)注互聯(lián)網(wǎng)開(kāi)發(fā)，積累了豐富的網(wǎng)站經(jīng)驗(yàn)，為廣大企業(yè)客戶(hù)提供一站式企業(yè)網(wǎng)站建設(shè)服務(wù)，在網(wǎng)站建設(shè)行業(yè)內(nèi)樹(shù)立了良好口碑。

許多公司組織堅(jiān)信完善的反病毒保護(hù)方案可以防止被勒索軟件攻擊，但是勒索攻擊仍然一次又一次成功。大多是情況下，攻擊者會(huì)利用虛擬專(zhuān)用網(wǎng)中的一些已知漏洞，或者對(duì)暴露在互聯(lián)網(wǎng)中的主機(jī)進(jìn)行攻擊，并不完全是利用惡意軟件直接進(jìn)行攻擊。

?[[355304]]?

Ragnar Locker

Ragnar Locker在2020年上半年開(kāi)始攻擊大型組織，它具有很強(qiáng)的針對(duì)性，每一個(gè)樣本都是為目標(biāo)組織量身定做的。如果受害者拒絕付款，他們的數(shù)據(jù)將被公布在網(wǎng)上。攻擊者聲稱(chēng)，這筆錢(qián)是他們發(fā)現(xiàn)漏洞、為文件提供解密和為受害者提供OpSec培訓(xùn)的獎(jiǎng)勵(lì)。

根據(jù)拒絕付款的受害者名單，Ragnar Locker的主要目標(biāo)是美國(guó)公司，行業(yè)類(lèi)型各不相同。

Ragnar Locker 技術(shù)分析

研究人員選擇最近發(fā)現(xiàn)的惡意軟件樣本進(jìn)行分析：1195d0d18be9362fb8dd9e1738404c9d

啟動(dòng)時(shí)，Ragnar Locker會(huì)檢查計(jì)算機(jī)區(qū)域設(shè)置。如果是列出的某個(gè)國(guó)家區(qū)，它將停止操作并退出。

不在上述列表中的國(guó)家，它將繼續(xù)檢查一下字符串：

所有準(zhǔn)備工作完成后，木馬程序?qū)⑺阉鞅镜卮疟P(pán)并加密受害者的文件。

RagnarLocker使用基于Salsa20進(jìn)行加密。 每個(gè)文件的密鑰和隨機(jī)數(shù)值也是唯一生成的，并通過(guò)木馬中硬編碼的2048位公共密鑰一起加密。

在加密文件后，Ragnar Locker會(huì)將加密的密鑰，隨機(jī)數(shù)和初始化常量添加到加密的文件中，并添加標(biāo)記“!@#_?agna?_#@!”。

Egregor

Egregor勒索軟件于2020年9月被發(fā)現(xiàn)，經(jīng)過(guò)初步分析，其與Sekhmet勒索軟件和Maze勒索軟件存在關(guān)聯(lián)。

Egregor勒索軟件通常會(huì)出現(xiàn)斷網(wǎng)的情況，惡意軟件樣本是一個(gè)DLL文件，需要使用命令行參數(shù)并給出的正確密碼來(lái)啟動(dòng)。 Egregor是最激進(jìn)的勒索軟件家族，如果72小時(shí)內(nèi)不支付贖金，受害者的數(shù)據(jù)將會(huì)被公布。

Egregor技術(shù)分析

研究人員選擇最近發(fā)現(xiàn)的樣本進(jìn)行分析：b21930306869a3cdb85ca0d073a738c5

惡意軟件只有在啟動(dòng)過(guò)程中提供正確密碼才會(huì)生效。 此技術(shù)旨在阻礙沙盒自動(dòng)分析以及研究人員的手動(dòng)分析，沒(méi)有正確的密碼，就不可能解壓縮和分析有效載荷。

解壓運(yùn)行惡意程序后，最終得到了一個(gè)混淆的二進(jìn)制文件，該二進(jìn)制文件仍然不適合靜態(tài)分析。 Egregor中使用的混淆技術(shù)與Maze、Sekhmet中的混淆技術(shù)非常相似。

控制流混淆示例

有效負(fù)載開(kāi)始執(zhí)行時(shí)，它將檢查操作系統(tǒng)用戶(hù)語(yǔ)言，避免對(duì)安裝了以下語(yǔ)言的計(jì)算機(jī)進(jìn)行加密：

終止以下進(jìn)程：

Egregor使用基于流密碼ChaCha和非對(duì)稱(chēng)密碼RSA的混合加密方案。

Egregor會(huì)生成一對(duì)唯一的會(huì)話(huà)密鑰對(duì)。 會(huì)話(huà)專(zhuān)用RSA密鑰由ChaCha導(dǎo)出并使用唯一生成的密鑰+隨機(jī)數(shù)加密，然后用主公共RSA密鑰加密該密鑰和隨機(jī)數(shù)。 結(jié)果保存在二進(jìn)制文件中(在本例中為C:\ProgramData\dtb.dat)，并在贖金記錄中保存為base64編碼的字符串。

Egregor處理的文件會(huì)生成一個(gè)新的256位ChaCha密鑰和64位隨機(jī)數(shù)，通過(guò)ChaCha加密文件內(nèi)容，然后使用會(huì)話(huà)公共RSA密鑰加密秘鑰和隨機(jī)數(shù)，最后將它們與一些輔助信息一起保存。每個(gè)加密文件的最后16個(gè)字節(jié)由動(dòng)態(tài)標(biāo)記組成。

Egregor的地理覆蓋范圍比Ragnar Locker的更廣

涉及諸多行業(yè)：

保護(hù)措施

• 勿將遠(yuǎn)程桌面服務(wù)(例如RDP)開(kāi)放到互聯(lián)網(wǎng)中，開(kāi)放服務(wù)需要使用強(qiáng)密碼;
• 及時(shí)安裝商業(yè)虛擬專(zhuān)用網(wǎng)可用補(bǔ)丁;
• 及時(shí)更新所有設(shè)備上的軟件，防止被勒索軟件攻擊;
• 將防御策略重點(diǎn)放在檢測(cè)橫向移動(dòng)和向Internet的數(shù)據(jù)泄漏方面;
• 定期備份數(shù)據(jù);
• 培訓(xùn)員工提高安全意識(shí)，如何防范勒索軟件攻擊。

網(wǎng)站標(biāo)題：近期勒索軟件分析研究
網(wǎng)站地址：http://www.dlmjj.cn/article/dppsjho.html