如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

发布时间:2021-10-11 18:26:19 作者:iii
来源:亿速云 阅读:267

这篇文章主要讲解了“如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃”吧!

背景概述

近日,深信服终端安全团队捕获了Crylock勒索软件变种。早在2014年,名为Cryakl的勒索软件开始运营,期间进行了多次迭代后在2020年更名为Crylock。根据文件二进制信息,该勒索软件可能由Bad Black Rabbit团伙开发。

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

样本分析

使用Borland Dephi 7开发,利用动态函数地址和动态解密字符串做为反杀软手段;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

调用的动态地址函数从数据段解密字符串;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

随机命名拷贝勒索病毒至%Temp%目录;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

设置管理员模式重新运行;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

添加开机自启;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

加密文件后缀白名单sys、dll、ini、log、bmp、bat;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

加密文件夹白名单recycle、windows、program files 、program data等;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

结束进程白名单,除系统进程外还包括远程桌面软件anydesk.exe;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

结束进程。如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

执行的CMD命令列表,用于关闭/删除文件备份;

$ vssadmin delete shadows /all /queit
$ wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
$ wbadmin DELETE BACKUP -keepVersions:0
$ wmic SHADOWCOPY DELETE
$ bcdedit /set {{default}} recoveryenabled No
$ bcdedit /set {{default}} bootstatuspolicy ignoreallfailures

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

遍历a-z盘,先加密非系统盘,最后加密系统盘;

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

加密函数会根据文件大小和类型选择不同加密方式,以下其中三种加密类别:

类型

大小

加密方式


< 0x100000

(编号15)(默认)加密Filesize/2+1字节


> 0x10485760

(编号14) 加密0x3D090字节


< 0x30000

(编号18) 加密补成0x100000大小

加密15(默认)

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

在加密结束后,每段程序末尾写入{ENCRYPTSTART}以及加密信息,生成的128位种子被加密写入程序末尾,到最后以{ENCRYPTEND}结束。

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

加密流程

(1)勒索病毒将待加密明文分为512位一组,每生成512位密钥后异或得到密文

在测试中发现,相同密钥种子生成的密钥流相同,不受明文或密文影响

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

(2)512位密钥生成器,由128位种子根据固定数组进行扩散和混淆形成密钥

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

(3)128位种子生成器,根据randomSeed函数生成

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

(4)randomSeed函数,根据32位初始种子生成,每次执行初始种子会以固定算法变化

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

(5)初始种子,使用QueryPerformanceCounter、GetTickCount函数生成

如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃

以上分析结果表明:

加固建议

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

感谢各位的阅读,以上就是“如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃”的内容了,经过本文的学习后,相信大家对如何防止Cryakl勒索病毒改名换姓,更名Crylock持续活跃这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!

推荐阅读:
  1. 删除.adobe后缀勒索病毒(删除勒索病毒+恢复数据)
  2. 防范勒索病毒

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:如何用python编写的简单的mysql巡检脚本

下一篇:Python中内置函数enumerate的驾驶员及运行过程

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》