来自 CC防护 2022-05-21 09:50 的文章

香港高防ip_ddos大流量攻击防御_如何防

香港高防ip_ddos大流量攻击防御_如何防

威胁情报小组仔细研究了新的Zepto(勒索软件)变体。

Zepto勒索软件在勒索软件领域是一个相对较新的玩家,它与臭名昭著的Locky勒索软件密切相关。仔细看一看Zepto的代码,我们发现该代码与Locky的代码几乎相同,但经过了一些修改。Zepto背后的恶意软件作者使用与传播Locky相同的方法,java防御ddos,甚至感染载体和TOR支付页面也是相同的,这让我们认为Locky背后的人现在正在传播Zepto。Locky和Zepto之间的唯一区别是赎金要求。Zepto的需求远高于Locky的3比特币(约1850美元)。

几天前,安全研究员Timothy Davies在推特上发布了Locky的更新。Locky现在包含硬编码的RSA密钥,简述ddos防御原理,不再与C&C服务器联系。

我们分析了样本,发现程序代码中有几个主要变化,以及一些有趣的新功能。

首先,我们需要指出Timothy推特上提到的样本实际上不是Locky,而是修改过的Zepto变体,加密文件时会创建一个".zepto"文件扩展名。

最大的变化是通过隐藏在加密的"配置"数据块中的公开RSA密钥执行的完全功能脱机模式,该密钥被硬编码到一个主二进制文件中,对应于Timothy推文中的描述。恶意软件作者的后端服务器上仍然隐藏着一个私钥,cc攻击的原理和防御方式,无法手动解密。

配置解密算法:

这里是解密配置:

勒索软件仍然包含用于操作C&C服务器的相同代码,就像Locky和以前的Zepto变体一样,但这一次代码永远不会在运行时执行。

另一个非常有趣的功能是根据文件类型使用"权重",并创建"优先级文件列表",按"权重"排序,并确定最终文件加密过程中的顺序。

权重表包括196种类型的扩展名,其权重值从7到-1不等。最优先的是"wallet.dat"文件,这表明用户拥有虚拟钱包,有比特币使用经验,因此更有可能支付赎金。

整个过程如下:

此版本的Zepto使用AES密码,每个文件随机生成密钥,棋牌防御cc,RSA密码使用硬编码公钥。

Zepto可以使用AES密码的两种方法之一实施,并通过CPUID指令决定是否应执行CPU指令以处理AES加密或是否应使用CryptoAPI方法。

每个加密文件还包含一个"头"结构,其中包含特定的魔法值、用户ID、加密的AES密钥和有关原始文件的信息,ddos防御软件S高防行吗,如属性和文件名。此标头用于恢复原始文件状态,如文件的原始创建日期。等

加密文件结构:

AES_enc(原始文件内容)| magic1=0x8956FE93 | 16B UserID | RSA_enc(AES_key)| AES_enc(magic2=0xD41BA12A | filename | file_attributes)

加密文件名由UserID组成,随机十六进制字符和以下格式的".zepto"扩展名:

zepto在重命名文件和通过MoveFileExW API函数替换原始文件内容时使用了一种有趣的方法,该函数设置了dwFlags=0x9(MOVEFILE_REPLACE_EXISTING | MOVEFILE_WRITE_THROUGH),它在加密过程中还提供了一个"锁定"文件。

为了对文件进行加密,确定Zepto是否有权访问文件是一种非标准且非常不寻常的方法,它使用了一系列API函数(DuplicateToken、MapGenericMask、AccessCheck..)和手动调整和设置,但此方法也适用于网络映射驱动器。

Zepto还尝试使用一种非常不寻常的方法从卷影复制服务中删除数据,该方法是通过从vssapi.dll库直接调用API实现的。如果此方法失败,将通过经典的"vssadmin.exe delete Shadows/All/Quiet"方法删除卷影副本。

Zepto包含对html帮助文件的非常好的模糊处理,这些帮助文件是在每个文件夹中使用加密文件创建的。这些帮助文件解释了受害者如何支付赎金和解密他们的文件,并对其进行了模糊处理,以避免AV检测或基于动态分析系统和沙盒的检测。

似乎Zepto和Locky的作者已经测试了他们的离线版本,从而确保在所有情况下都能加密用户文件。早期版本从其服务器下载了RSA公钥,但在这种情况下,如果连接失败或被阻止,则恶意软件无法工作且用户安全。

恶意软件作者仍在努力工作,并使用新功能扩展此勒索软件。

我们将查看作者是否会保持脱机模式,或者返回C&C服务器。

Avast可防范Zepto和Locky等勒索软件。比较我们网站上的安全解决方案。

SHA-256:BFE580CF1F33EC1C456385FEF84BA01CA40A4E81833A8519B5B9B71E967D6444

保险后一周,Avadon勒索软件集团将DDoS攻击和勒索软件瞄准了总部位于亚洲的保险公司AXA该公司宣布将在法国放弃对勒索软件支付的支持。

安全专家分析目前正在锁定世界各地系统的最新勒索软件威胁。

了解美国财政部威胁朝鲜政府支持的黑客组织意味着什么。