来自 DDOS 2022-05-31 05:20 的文章

国内高防cdn_cc怎么防御_零误杀

国内高防cdn_cc怎么防御_零误杀

Avast威胁情报团队深入研究了双重勒索软件Petya和Misha。

Petya和Misha勒索软件是一个一揽子交易,由其创建者Janus分发。它们非常不同寻常,因为它们结合了两种不同的方法来加密用户数据。与大多数其他勒索软件不同,Petya主要加密MFT(主文件表)和MBR(主引导记录)。如果Petya没有足够的权限访问HDD(硬盘驱动器)上的MBR,为什么ddos无法防御,则部署Misha模块并逐个加密文件。

Petya的第一个版本只能加密MBR和MFT扇区。这个版本的Petya使用红色作为其徽标、字体等。。作者现在已将颜色更改为绿色,并在第二和第三版本的Petya中添加了Misha模块。

在开发过程中,作者在实施salsa20加密算法时犯了一些错误,该算法可通过遗传算法或使用bruteforce进行追溯性文件解密,不用付赎金。最新的Petya MBR加载器实现已经修复,以前用于解密的方法不再有效。

Petya和Misha也可以脱机工作,这意味着他们不需要与C&C服务器通信,其他勒索软件需要做些什么才能下载加密密钥。

模块的名称,Petya和Misha,以及创建者的昵称Janus,灵感来源于詹姆斯·邦德的电影《黄金眼》

让我们看看这款双重勒索软件的一些有趣功能:

这款勒索软件主要通过垃圾邮件活动传播,使用不同类型的附件(zip、pif、pdf.exe等)或各种在线存储服务的链接。这些假电子邮件看起来像是求职申请、工作邀请、法律诉讼等等。勒索软件不使用任何复杂的方法或漏洞工具包来感染设备,它纯粹依靠用户操作来运行受感染的附件。

当我们分析Petya时,滴管冒充机器调试管理器*并包括原始编译日期以及原始机器调试管理器二进制文件的片段。它还导入了许多不必要的API函数。

*机器调试管理器Mdm.exe是一个与Microsoft脚本编辑器一起安装的程序,防御ddos程序,为程序调试提供支持。

滴管非常简单,不包含任何反调试技巧,但它被大量垃圾代码指令严重混淆,也使用自修改方法。

修改前的混淆代码:

和SMC(自修改方法)后的混淆代码:

滴管包括XORD有效载荷,其中包含Petya的引导加载程序和Misha模块。

有效负载是一个名为"Setup.DLL"的DLL文件,具有重要的导出功能_ZuWQdweafdsg345312@0PE标题中的"和".xxxx"节名。本节包含加密模块。

在第一步中,使用简单的1字节异或算法对Petya引导加载程序和Misha模块进行解密。

在下一步中,有效负载通过GetTokenInformation API函数检查其拥有哪些权限,并决定将部署哪个模块。

通过CryptGenRandom API函数从Windows CryptokenAPI库生成随机加密密钥。此密钥经过加密并表示为Base58编码字符串。比特币字母表的这种非典型编码也用于其他模块。

在编码键(绿色)的末尾添加了一个带有用户操作系统标识(红色)和用户安装的AV产品(橙色)的小结构。如您所见,作者保留了几个可用空间(紫色),可能是为了进一步使用。

通过API函数VerSetConditionMask和VerifyVersionInfo,使用有趣的方法执行操作系统版本验证。此方法可确保API函数GetVersion(Ex)在不推荐使用的Win8及更高版本上的兼容性。

每个操作系统版本代表一个来自Base58字母表的ASCII字符。

十六进制

ASCII

Windows版本

0x44

D

Windows 10

0x43

C

Windows 8.1或Windows Server 2012 R2

0x42

B

Windows 8或Windows Server2012

0x41

A

Windows 7 SP1或Windows Server 2008 R2 SP1

0x39

9

Windows 7或Windows Server 2008 R2(不含服务包)

0x38

8

Windows Vista SP2或Windows Server 2008 SP2

0x37

7

Windows Vista SP1或Windows Server 2008 SP1

0x36

6

Windows Vista或Windows Server 2008(不含服务包)

0x35

5

Windows XPSP3

0x34

4

Windows XP SP2

0x33

3

Windows XP SP1

0x32

2

旧版本

通过搜索"程序文件"或"程序文件(x86)"中的文件夹名称并将结果与硬编码列表进行比较来验证已安装的AV产品。如果未找到任何内容,有效负载将存储值"1",或添加与找到的AV产品对应的Base58字母表中的字符。

AV产品表:

十六进制

ASCII

AV产品目录字符串

0x31

1

未找到任何内容

0x32

2

AhnLab

0x33

3

AVAST软件

0x34

4

AVG

0x35

5

Avira

0x36

6

Bitdefender

0x37

7

BullGuard Ltd

0x38

8

CheckPoint

0x39

9

COMODO

0x41

A

ESET

0x42

B

F-Secure

C

G数据

0x44

D

K7计算

0x45

Warkasky Lab反恶意软件

0x47

G

McAfee

0x48

H

McAfee.com

0x4A

J

微软安全客户端

0x4B

K

诺曼

0x4C

L

熊猫安全

0x4D

M

Quick Heal

0x4E

N

Spybot-搜索和销毁2

0x50

P

Spybot-搜索和销毁

0x51

Q

诺顿安全,带备份安全性

0x53

S

Nortonistaller

0x54

T

VIPRE

0x55

U

Trend Micro

使用GetFileAttributesAPI函数执行文件夹搜索,并使用值0x10=文件属性目录检查结果。

下一步是选择正确的.onion URL地址并将生成的部分密钥附加到他们。

作者长期使用以下TOR地址:

hxxp://petya3jxfp2f7g3i.onion/

hxxp://petya3sen7dyko2n.onion/

hxxp://mischapuk6hyrn72.onion/

hxxp://mischa5xyix2mrhd.onion/

现在,一切准备就绪,可以运行Petya进行MBR感染或Misha加密用户文件。