论文部分内容阅读
当前,网上有一款以病毒作者名字命令的勒索病毒Zenis,创下多个勒索病毒之最。第一个之最是加密的文件种类最多,超过200种格式,既有.txt、.doc、.docx、.xls、.xlsx、.ppt、.pptx等常见文件格式,也有.bkp、.qic、.bkf、.sidn、.sidd、.mddata、.itl等不常见的文件格式,甚至连.exe这种可执行程序都不放过。
第二个之最是加密的强度大,达到RSA 1024/2048级别,平台勒索病毒大多数是RSA 256级别,极少数可以达到RSA 512级别,这里的RSA是一种非对称加密算法,所谓非对称就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密,而RSA后面的数字代表的是位数,位数越大加密等级越高,破解需要的时间也就越多,目前RSA 1024/2048级别理论上可以破解,现实生活中还没有出现过真实成功的破解案例。
第三个之最是为了确保受害者不能恢复重要数据,会删除备份文件且对备份文件物理存储位置进行3次写入覆盖,如此一来用数据恢复软件就搞不定了,受害者是欲哭无泪,主要针对的备份文件有.win、.wbb、.w01、.v2i、.trn、.tibkp、.sqb 、.rbk、.qic、.old、.obk 、.ful 、.bup 、.bkup 、.bkp 、.bkf 、.bff、.bak、.bak2、.bak3、.edb等。当然,国外的安全专家发现如果人品爆发,还是有一定机会用专业数据恢复手段找回重要的数据,不过成本太高、操作复杂,不适合大面积推广。
说了那么多,我们来看看勒索病毒Zenis是怎么攻击受害者电脑的。病毒通过伪装的手段进入受害者电脑后,会判断电脑注册表的HKCU\SOFTWARE\ZenisService中是否存在Active值,如果Active值存在就说明这台电脑之前已经被攻击过,于是放弃攻击,如果没有Active值就会清除系统事件日志,禁用系统的启动修复功能,结束MSSQL数据库进程、任务管理器进程、注册表编辑器进程和备份程序相关进程。
之后,Zenis生成一对RSA 1024 Key,一个用于加密的公钥SPUBKEY和一个用于解密的私钥SPIVKEY,再用RSA 1024 + RC4的方式对文件进行加密,对用于解密的私钥SPIVKEY,病毒会用RSA 2048再加密一次,确保无法破解。加密完成后,文件的文件名也会被修改为“Zenis-[2个随机字符].[12个随机字符]”的格式,例如361test.txt被加密后文件名变成“Zenis-EO.V1OqyzpYfV5z”。
要想拿到解密私钥,就要向病毒作者支付0.2018个比特币,病毒作者的比特币钱包地址为17o83ughmzkeMKMsLz4bHRmf75UrjwLpKf。目前,该病毒已经在网上疯狂传播,大家要警惕,万一中毒也不要支付赎金,不能助长病毒作者的嚣张气焰!
@董师傅: Zenis勒索病毒會删除备份文件并进行多次覆盖,破坏性很大,清除病毒后有的文件可能再也找不回来了。预防Zenis勒索病毒的关键是,不要随便下载来历不明的压缩包、禁用电脑的3389端口、启用服务器的网络身份验证NLA、确保杀毒软件正常运行。
第二个之最是加密的强度大,达到RSA 1024/2048级别,平台勒索病毒大多数是RSA 256级别,极少数可以达到RSA 512级别,这里的RSA是一种非对称加密算法,所谓非对称就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密,而RSA后面的数字代表的是位数,位数越大加密等级越高,破解需要的时间也就越多,目前RSA 1024/2048级别理论上可以破解,现实生活中还没有出现过真实成功的破解案例。
第三个之最是为了确保受害者不能恢复重要数据,会删除备份文件且对备份文件物理存储位置进行3次写入覆盖,如此一来用数据恢复软件就搞不定了,受害者是欲哭无泪,主要针对的备份文件有.win、.wbb、.w01、.v2i、.trn、.tibkp、.sqb 、.rbk、.qic、.old、.obk 、.ful 、.bup 、.bkup 、.bkp 、.bkf 、.bff、.bak、.bak2、.bak3、.edb等。当然,国外的安全专家发现如果人品爆发,还是有一定机会用专业数据恢复手段找回重要的数据,不过成本太高、操作复杂,不适合大面积推广。
说了那么多,我们来看看勒索病毒Zenis是怎么攻击受害者电脑的。病毒通过伪装的手段进入受害者电脑后,会判断电脑注册表的HKCU\SOFTWARE\ZenisService中是否存在Active值,如果Active值存在就说明这台电脑之前已经被攻击过,于是放弃攻击,如果没有Active值就会清除系统事件日志,禁用系统的启动修复功能,结束MSSQL数据库进程、任务管理器进程、注册表编辑器进程和备份程序相关进程。
之后,Zenis生成一对RSA 1024 Key,一个用于加密的公钥SPUBKEY和一个用于解密的私钥SPIVKEY,再用RSA 1024 + RC4的方式对文件进行加密,对用于解密的私钥SPIVKEY,病毒会用RSA 2048再加密一次,确保无法破解。加密完成后,文件的文件名也会被修改为“Zenis-[2个随机字符].[12个随机字符]”的格式,例如361test.txt被加密后文件名变成“Zenis-EO.V1OqyzpYfV5z”。
要想拿到解密私钥,就要向病毒作者支付0.2018个比特币,病毒作者的比特币钱包地址为17o83ughmzkeMKMsLz4bHRmf75UrjwLpKf。目前,该病毒已经在网上疯狂传播,大家要警惕,万一中毒也不要支付赎金,不能助长病毒作者的嚣张气焰!
@董师傅: Zenis勒索病毒會删除备份文件并进行多次覆盖,破坏性很大,清除病毒后有的文件可能再也找不回来了。预防Zenis勒索病毒的关键是,不要随便下载来历不明的压缩包、禁用电脑的3389端口、启用服务器的网络身份验证NLA、确保杀毒软件正常运行。