国产2020精品视频免费播放,久久看久久做久久精品,欧美日韩精品视频一区二区,chinese fuck xxxx hd

2016-10-08 360安全衛(wèi)士 FreeBuf

一、  前言

近日，360互聯(lián)網(wǎng)安全中心捕獲到一款名為“cerber3”的敲詐者木馬。

該敲詐者木馬會加密計算機中的重要文件，加密的文件類型包括但不限于.doc,.ppt,.xls.,.jpg,.zip,.pdf等180多種類型。

被加密后的文件將無法正常打開且被加上“cerber3”擴展名，用戶必須訪問相應(yīng)網(wǎng)站支付贖金才可恢復文件，對數(shù)據(jù)安全有巨大威脅。

圖1 感染“cerber3”后的桌面背景

圖2 勒索信內(nèi)容

圖3 被加密的文件

而此次木馬的傳播除了以往的郵件附件傳播外，也大量使用網(wǎng)站掛馬，word宏病毒等手段傳播，這也造成大批普通網(wǎng)民中招。

文檔打開之后，如果宏被執(zhí)行的話，宏代碼會調(diào)用Powershell做為下載器下載木馬執(zhí)行：

二、  加密流程解析

“cerber3”敲詐者使用RSA搭配隨機數(shù)進行加密操作。

首先使用RSA公鑰加密隨機數(shù)作為本機專有加密密鑰，在對每個文件進行加密時再產(chǎn)生一組隨機數(shù)并使用該隨機數(shù)加密文件，最后用本機專有密鑰加密該隨機數(shù)后存放到文件中，同時也將本機專有密鑰也通過RSA加密后存到文件中。

此種加密方法保證每個文件加密密鑰不同并且每臺計算機的專有密鑰不同，

就算暴力破解出其中一組隨機數(shù)也只能解密一個文件，只有獲得RSA私鑰才能恢復所有文件。加密流程如下所示。

使用這種分級加密方式，每一個文件中都存儲有加密文件使用的密鑰，攻擊者可以對單個文件實施解密操作。

在攻擊者提供的付款頁面中也提供了“免費解密單個文件”的功能。

市面上可以看到有不少用戶中招之后，交付贖金解密的案例：

三、  代碼分析

和其他來自國外的“敲詐者”木馬相同，“cerber3”敲詐者木馬對反靜態(tài)分析下了很大的功夫。

它通過在申請的虛擬空間中執(zhí)行數(shù)據(jù)解密操作，并通過內(nèi)存卸載和重新映射兩個步驟將解密得到的數(shù)據(jù)寫回內(nèi)存中，從而完成一個“貍貓換太子”的任務(wù)。

處理完的程序和原先的程序完全不同，因此可以躲過絕大多數(shù)的靜態(tài)掃描。

圖4 使用push retn更改執(zhí)行流程至開辟的虛擬內(nèi)存中

圖5 解除文件映射

程序?qū)?shù)據(jù)段讀取的內(nèi)容解密之后映射到內(nèi)存中，從而完成整個程序內(nèi)容的轉(zhuǎn)換，至此真正的加密工作才開始進行。

加密工作的第一步就是用存儲在文件中的RSA公鑰加密一組隨機數(shù)，作為本機唯一的初始密鑰。

圖6 RSA公鑰

圖7 公鑰加密隨機數(shù)函數(shù)

圖8 加密得到的本機統(tǒng)一密鑰

獲得本機初始密鑰之后，將會使用該密鑰去加密每個文件對應(yīng)的唯一隨機數(shù)，然后再對文件進行加密，完整的加密流程如下圖所示。

圖9 加密流程

然后將加密后的隨機數(shù)密鑰和加密后的本機專有密鑰也存放到文件中。

受害者交付贖金后，作者通過私鑰解密得到本機專有密鑰，再使用本機專有密鑰分別解密每個文件使用的隨機數(shù)密鑰，最后解密每個文件。

圖10 將兩組密鑰存放到文件中

四、  總結(jié)

“cerber3”敲詐者會破壞用戶計算機中的重要文檔，必須向其支付一定數(shù)額比特幣才能對文檔進行恢復，又由于對方所提供的地址都來自于暗網(wǎng)，因此國內(nèi)用戶計算機一旦感染此病毒將難以解決文件恢復的問題。

對于普通網(wǎng)民來說，可以從下面幾個方面預(yù)防這類病毒：

1.  對重要數(shù)據(jù)及時做備份，將備份存在多個位置，預(yù)防數(shù)據(jù)損壞丟失。

2.  打好系統(tǒng)和軟件補丁，預(yù)防各類掛馬和漏洞攻擊。

3.  養(yǎng)成良好的上網(wǎng)習慣，不輕易打開陌生人發(fā)來的郵件附件。

4.  最重要的，用戶應(yīng)該選擇一款可靠的安全軟件，保護計算機不受各類木馬病毒侵害。

并且對此360安全衛(wèi)士開通了“反勒索服務(wù)”，并向用戶公開承諾：

使用360安全衛(wèi)士并開啟該服務(wù)后，仍然感染敲詐者病毒的話，360將提供最高3個比特幣（約13000元人民幣）的贖金幫助用戶恢復數(shù)據(jù)，讓用戶遠離財物及文檔的損失。