公司

首頁 > 關于我們 > 安恒動態 > 2022 > 正文

「黑白叢林」“閻羅王”襲擊全球，安恒信息發布解密工具

閱讀量：次

黑白叢林

安恒信息「黑白叢林」專欄，為提升網絡安全攻防認知而設，希望讀者從中受益。

近日，一種命名為“閻羅王”的勒索病毒，在全球范圍內掀起熱議，該團伙已利用“閻羅王”在美國、巴西、土耳其等國家發起大規模的勒索攻擊，并且此團伙極其囂張地警告受害者不要聯系執法部門和勒索病毒“中介”，如果不遵守約定還將對企業進行DDoS攻擊甚至刪除數據。安恒信息安全專家團隊,針對“閻羅王”的攻擊原理和加密過程進行了詳細的還原分析，提出了有效的解密方法。文末可以免費下載專業解密工具！

“閻羅王”勒索信

“閻羅王”運行加密過程分析

1.樣本運行后，首先判斷參數。樣本所支持的參數如下：

??-p/-path/--path：指定要加密的文件路徑

??-pass/--pass：樣本運行需要指定密鑰，值為D86BDXL9N3H

??-h/--help：顯示參數格式

2.樣本會停止進程veeam和sql

3.停止數據庫、郵件、瀏覽器等相關的服務，并終止相關進程，從而釋放這些服務所占用的文件，方便對這些文件進行加密：

4.樣本內置了一個列表，加密過程中會跳過列表中的文件類型：

??.exe

??.dll

??.conf

??.a

??.lib

??.bat

??.ps

??.msi

? .cfg

??.reg

??.sys

??.lnk

??.obj

??.ini

??.yanluowang

5.樣本加密過程中會跳過如下路徑：

??.

??..

??PROGRA~1

??SYSTEM~1

??README.txt

??Windows

??WINDOWS

6.樣本使用Sosemanuk算法對文件進行加密。首先會調用CryptGenRandom生成加密所需的IV：

7.調用RC4算法，解密出RSA密鑰，RC4密鑰為RSCNFZJCXGCGF8Q6TOY7IKPE9J3PO6DAPGZFKLHARGXW：

??解密出的RSA密鑰：

8.使用RSA-1024密鑰，加密生成的IV：

9.以3GB為分界線，對于不同大小的文件，采用不同的邏輯進行加密：

10.對小于3GB的文件，完整加密：

11.對大于3GB的文件，每200MB加密5MB：

12.對加密后的文件，添加后綴“yanluowang”：

13.加密后，在每個被加密的文件夾下，釋放文件README.txt作為勒索信，內容如下：

二、“閻羅王”解密原理分析

樣本使用Sosemanuk流對稱加密算法進行加密，算法利用一個IV，生成一個密鑰流，然后使用密鑰流與明文進行xor運算進行加密。通常情況下，每個文件的IV應該不同，從而保證密鑰流不同，但是該樣本所有文件使用的IV都相同，因此密鑰流都相同，因此只要用任意的明文與密文做xor運算，就可以拿到密鑰流。密鑰流長度0x400，之后會循環使用。

本次安恒信息安全專家團隊成功破解了“閻羅王”勒索病毒的秘鑰，但是并不代表所有勒索病毒都可以解密，相反絕大部分的勒索病毒是很難被解密的，對于廣大企業用戶來說，提高終端的勒索防護能力才是保護關鍵業務數據不受勒索病毒危害的“最優解”。

三、針對勒索病毒攻擊的防護性措施

安恒信息終端安全專家通過分析勒索病毒的攻擊流程，將勒索病毒的攻擊分為三個階段，并提出針對性防護措施，有效防止攻擊者向主機植入勒索病毒，為用戶資產提供全面的防勒索能力，真正做到抵御勒索病毒“于千里之外”。

信息收集、尋找攻擊點

安恒EDR具備防端口掃描功能，實時檢查入站連接并阻斷對本機端口的惡意探測, 防止攻擊者進行掃描和嗅探，導致敏感信息泄露。并且并利用勒索風險專項評估能力，對系統的弱口令、威脅文件、風險賬號、錯誤配置等進行專業評估、針對系統的薄弱點進行快速修復，不給攻擊者“可乘之機”。

入侵主機持久化攻擊

通過防單機擴展（針對本機的擴展行為進行監測，防止提權行為）、防遠控持久化（對失陷后主機遠控持久化行為進行檢測，并可阻斷遠控）兩大防御能力，防止攻擊者入侵主機，有效進行事前防御。

橫向滲透擴大攻擊面

通過防內網探測功能對內網的惡意攻擊行為進行識別，阻斷攻擊者對內網的橫向滲透。并基于業務隔離的策略劃分特定的網絡域，防止威脅在內網擴散；搭載一鍵關閉高危端口，一鍵封鎖威脅IP等應急策略，防止“威脅串網”維持整個網絡環境穩定。有效切斷攻擊者攻擊途徑，阻止攻擊者進行橫向滲透。

除了做好事前防御外，安恒EDR還具備專利級的勒索病毒防護引擎：

能及時發現并阻斷勒索病毒的啟動，準確高效地實時保護用戶關鍵業務數據及服務。

可添加訪問控制策略，對重要文件或目錄進行訪問權限控制，僅允許配置的例外進程操作，從根本上杜絕勒索病毒，保護業務數據安全。

面對復雜的網絡安全態勢，勒索病毒的變種將會越來越快，攻擊手段會變得更加多樣化；安恒信息將持續發揮技術上的優勢，打造更專業、更強大的終端安全防護產品與解決方案，守護千萬企業與用戶的終端安全。

掃碼立即獲取

“閻羅王”勒索病毒

專業解密工具

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業互聯網安全>