Phobos|够野!Phobos勒索病毒新变种一周内“攻陷”全球多国( 三 )
文章图片
病毒变种生成的AES密钥
对于生成的32字节AES密钥 , 病毒使用RSA算法对其进行加密 , 被加密内容包含AES密钥 , 磁盘序列号 , 伪随机数等在内共128字节 。
文章图片
RSA加密 AES密钥
开始文件加密前 , 病毒首先判断待加密文件大小 。 如果文件小于0x180000字节(即1.5Mb)或待加密文件被标记为全加密文件类型 , 则phobos将待加密文件全部加密;否则只加密文件的部分内容 。
文章图片
判断文件大小区别加密方式
对于全加密文件 , 该病毒变种首先创建一个新文件 , 并为原始文件名拼接上加密文件特定后缀名 。 然后依次读取待加密文件数据到内存 , 使用AES随机密钥和16字节的随机初始变量进行CBC模式加密 , 并将加密内容依次写入新创建文件 。
文件数据加密完成后 , 其会在新文件尾部追加密钥、原文件等相关数据共0xF0个字节 , 该文件尾主要包含以下内容:已加密原文件名在内的64字节 ,AES加密初始向量IV , 已经RSA加密的AES加密密钥和系统磁盘序列号 , 占用4字节的尾部空间大小标记(0xF0),以及疑似标志Phobos病毒版本号的6字节常量值 。
文章图片
文件全加密
文章图片
全加密文件的文件尾数据
对于部分加密文件 , 病毒从待加密文件中读取3次0x40000字节大小的数据片段 , 再加之常量和校验值 , 采用与全加密相同的加密算法进行数据加密 , 然后写入加密后数据到文件尾部 , 并清空被加密的原始数据片段 。
文章图片
文件部分加密
值得一提的是 , 近半年来 , 勒索病毒的蔓延势头愈加强劲 , 诸如Phobos勒索病毒变种的新型勒索病毒相继涌现 , 不仅入侵方式更隐蔽 , 传播速度更迅速 , 同时破坏效果也更加令人震惊 。 因此 , 广大用户需时刻提高防护意识 , 做好安全防御措施 。
不过广大用户无需过分担心 , 在360安全大脑的极智赋能下 , 360安全卫士目前已可有效拦截查杀该勒索病毒变种 。 为全面保障广大用户的个人隐私及财产安全 , 净化网络环境 , 360安全大脑给出以下几点安全建议:
1、前往weishi.360.cn下载安装360安全卫士 , 并保持360安全卫士进程的常驻 , 可有效防护各类勒索病毒威胁;
2、提高个人网络安全意识 , 不轻易从各下载站下载所谓的“免费”激活工具等软件 。 建议从软件官网 , 360软件管家等正规渠道下载安装软件 , 对于被360安全卫士拦截的不熟悉的软件 , 不要继续运行和添加信任 。
Md5:
01f6d86a3e0050cb116ad4f16f12a420
1e9d15d0e69d2ddaa1201eeb9859645e
7f572cad5b68d5b32e330aca579152ae
1c4e0d89e074f8fd8190a3887c378ed9
f4b5c1ebf4966256f52c4c4ceae87fb1
ac5f2c74c8c86f4c6914e646cf7ae975
9e6b25770a41c39721dd3753e7924697
636a3d5759907f7a3261beac3f75ca6a
89cae80db18a87076fb59c2deff65b66
URLs:
hxxp://boundertime.ru/pps.ps1
hxxp://marcakass.ug/ac.exe
hxxp://marcakass.ug/rc.exe
hxxp://marcakass.ug/ds1.exe
hxxp://marcakass.ug/ds2.exe
hxxp://evanhopping.com/Zbixrpx.exe
推荐阅读
- 重庆|如何界定“正当维权”与“敲诈勒索”?
- 保安捡到灰色泰迪被陷偷了白色泰迪,三男子恶意敲诈勒索8万元被抓
- 维权|如何界定“正当维权”与“敲诈勒索”?
- 女子遭裸照威胁找情人"平事儿" 不料勒索之人就是他
- 游戏账号|14岁男孩怕家长知其花钱玩游戏 被20岁网友勒索15万元
- 14岁男孩怕家长知其花钱玩游戏,被20岁网友勒索15万
- 买车还是找茬?二男子以旧伤敲诈勒索二手车店店主获刑
- 敲诈勒索|在西安城南欺行霸市 一“黑车”恶势力犯罪集团获刑
- 除恶|【扫黑除恶】开设赌场、寻衅滋事、敲诈勒索,恶势力团伙22人被判刑!
- 数字货币|乌克兰捣毁加密货币犯罪团伙:专为勒索软件团伙洗钱