近日,瑞星安全专家捕获到CryptON勒索病毒最新变种,该病毒会加密除电脑系统文件外的其他所有类型文件,加密文件后会在桌面与所有文件目录中留下勒索文本,要求用户邮箱联系病毒作者提供赎金解密。CryptON勒索病毒最新变种使用对称算法加密文件,并且密钥存储在本地,因此可以解密。目前国内已有用户感染该病毒,瑞星第一时间发布该病毒变种解密工具(下载地址:http://download.rising.com.cn/for_down/rscrypto/CryptON0529.exe),中招用户可以下载使用。
图:勒索文本
CryptON勒索病毒又称为X3M、Nemesis、Cry3,最早于2017年出现。最新出现的CryptON勒索病毒新变种通过RDP弱口令植入,会将被加密文件名追加上.firex3m后缀。 攻击者会远程控制受害者计算机,使用进程结束工具结束本机的安全软件,继而使用密码抓取工具抓取更多密码,尝试攻击其他机器。因此一旦有计算机中招,就可能引起大面积瘫痪。
目前,瑞星公司已经发布了解密工具(下载地址:http://download.rising.com.cn/for_down/rscrypto/CryptON0529.exe)。同时,瑞星所有个人及企业级产品均可对CryptON勒索病毒进行查杀,瑞星之剑(下载地址:http://www.rising.com.cn/j/)可以有效拦截该勒索病毒。
防御措施
1.不适用弱口令账号密码;
2.提高上网安全意识,做好重要数据备份;
3.安装杀毒软件保存防御开启;
图:杀软查杀
4.安装勒索病毒防御软件。
图:瑞星之剑勒索防御软件拦截
解密工具使用说明
1.由于勒索病毒在桌面释放了藏有密钥的文件temp000000.txt, 因此解密工具需要与该密钥文件放置在同一目录下才可以解密。
图:含有密钥的文件
2.保证解密工具与病毒产生的密钥文件在同一目录下。 (由于密钥文件默认在桌面产生,推荐将解密工具直接放置于桌面使用)
图:密钥文件与解密工具在同一目录
3.打开瑞星解密工具
图:解密工具面板
4.解密选项配置
(1)输出解密日志, 勾选该项可以在解密完成后列出解密日志以供参考。
(2)保留/删除解密文件, 用户选择是否在解密完成后保留原始的加密文件。
图:解密选项说明
5.开始解密
(1)选择指定目录进行解密
点击“浏览”按钮。
图:浏览按钮
选择一个需要解密的文件夹, 点击“确定”按钮。
图:选择要解密的文件夹
此时点击“解密”按钮即刻开始解密。
图:解密按钮
在解密完成后弹出日志文本, 并且提示解密结束。
图:解密完成
(2)全盘解密
直接点击“全盘解密”按钮 , 即可开始解密。(全盘解密将会检索所有磁盘, 时间较长)
图:全盘解密
恢复磁盘中的所有加密文件并输出日志。
图:全盘解密结束
6.生成解密文件后,可同时保留加密文件
图:保存加密文件
注意事项
1.未完全解密前,请不要关闭解密工具或删除解密文件。
2.每台机器的解密文本(temp000000.txt)密钥数据是不相同的,因此不能将同一份密钥文本作用于其他机器,每台机器必须使用各自的解密文本。
技术分析
病毒为了防止自身被静态分析,将所有要使用到的API都在运行时动态加载,并且在需要时才调用其解密函数解密字符串,该解密函数使用凯撒轮盘的方式解密字符串信息。
图:动态解密字符串
获取系统语言,与列表中的进行对比,如果是以下指定语言的操作系统,将不会受到加密攻击。推测病毒作者通过该种方式避免所在国家的法律。
图:检查本机语言
解密时排除指定文件目录与部分后缀名,防止加密时操作系统被破坏导致无法继续加密。
图:排除指定的目录及后缀
删除系统的卷影拷贝,防止通过系统工具恢复文件。
图:删除卷影
创建互斥体防止多个实例影响加密流程。
图:互斥防多开
创建多达50个的加密线程,为其指定不同的文件路径,同时工作以便快速加密所有文件路径。
图:多线程快速加密
获取本机部分信息(主机名、用户名、磁盘卷信息), 并且通过这些信息计算生成一个唯一的用户ID。
图:获取用户信息
生成随机密钥,使用Random函数生成4组伪随机数,作为后续加密算法的提供密钥。
图:生成密钥
四组密钥信息如下图:
图:密钥信息展示
在用户临时目录下创建一个以用户ID为名称的空文件,作为病毒对计算机感染的一个检查标记。以此防止被加密过的主机,重复运行数据被二次加密。
图:创建感染标记
根据病毒程序计算的唯一ID来填充被病毒加密后文件的后缀格式,目的也是便于病毒作者清晰区分不同的被加密用户。
图:使用ID填充后缀名
获取操作系统版本、系统类型、并将密钥等信息一并组合写入到桌面的temp000000.txt文件中。并立即通过NotePad记事本程序打开密temp000000.txt文件。
密钥文件的格式如下:
report||用户ID||用户ID + 密钥||主机名||操作系统||系统类型||系统语言||
图:密钥文件
遍历所有网络资源以及本地磁盘目录,在所有目录下创建勒索文本。并记录所有的文件目录以便于后续50个加密线程能够同时进行加密。
图:枚举网络资源
图:遍历本地磁盘
加密文件时,修改文件的扩展名。
图:被修改的文件名
该版本加密时会判断文件大小,对于大于0xB400字节的文件, 仅加密0xB400字节。 小于0xB400则全部加密。
图:判断文件大小
使用3DES算法进行首次数据加密,先前通过Random随机数生成的KEY1前16字节做为3DES的密钥key,KEY2的前8字节做为3DES的初始向量IV。
图:3DES算法加密
进过3DES加密后的数据再次使用RC4进行二次加密。RC4所使用的密钥是由Random随机数生成的KEY4,密钥大小为0x100字节。
图:RC4加密
加密后的数据写回文件,并向文件末尾追加0x20 + 0x4字节数据。
其中前0x20字节只使用了首个字节保存被加密数据的结尾。
最后0x4字节则是根据用户PC信息计算所得的唯一ID与key进行异或所得标识。
目的应该是病毒作者为了效验文件密钥与数据完整性。
加密后的文件展示如下:
图:被加密的文件
病毒程序在完成全盘加密的操作,也就是所有的线程全部结束加密工作后。调用命令行执行自删除操作。