本篇文章為大家展示了KrakenCryptor2.0.7勒索變種的示例分析，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比合川網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式合川網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋合川地區(qū)。費(fèi)用合理售后完善，十多年實(shí)體公司更值得信賴。

前言

深信服安全團(tuán)隊(duì)在分析安全云腦全網(wǎng)威脅數(shù)據(jù)時(shí)，發(fā)現(xiàn)了一個(gè)在國(guó)內(nèi)出現(xiàn)的新勒索家族KrakenCryptor，發(fā)現(xiàn)版本為KrakenCryptor2.0.7。該版本為目前發(fā)現(xiàn)的最新版本，但陸陸續(xù)續(xù)有客戶通過(guò)安全云腦對(duì)該樣本進(jìn)行檢測(cè)。該勒索軟件最新版本使用RSA+AES加密算法，加密后綴也隨機(jī)生成。

詳細(xì)分析

1、樣本是用.net框架編寫的，并且樣本經(jīng)過(guò)混淆，如圖所示：

2、將樣本去混淆，便開(kāi)始對(duì)它的研究。跟一般勒索軟件類似，該版本也會(huì)給受害者設(shè)定一個(gè)繳納贖金的時(shí)限，超過(guò)一個(gè)周以后就會(huì)漲價(jià)。

如圖所示，這是給受害者的收費(fèi)計(jì)時(shí)，不過(guò)并未在圖形界面上展示，且這個(gè)一周漲價(jià)算的是自然周，而不是根據(jù)受害者被加密以后開(kāi)始算。

繳費(fèi)（勒索）倒計(jì)時(shí)

3、樣本會(huì)首先解密出一些關(guān)于加密的信息，比如，家族、版本、技術(shù)支持郵箱等。

家族版本號(hào)

加密的密鑰長(zhǎng)度信息

KrakenCryptor支持加密的文件后綴，一共有422種。下圖為部分文件后綴。

支持加密的文件后綴

4、樣本會(huì)通過(guò)https://ipinfo.io網(wǎng)站來(lái)確認(rèn)受害者IP的位置：

收集受害者IP的物理位置

5、收集受害者系統(tǒng)版本、mac地址、本地磁盤信息，并生成RSA和AES密鑰：

生成加密密鑰

6、獲取受害者的默認(rèn)輸入法，對(duì)特定默認(rèn)輸入法進(jìn)行免疫（不加密）。

獲取默認(rèn)輸入法

免疫輸入法

獲取系統(tǒng)語(yǔ)言，對(duì)特定語(yǔ)言進(jìn)行免疫。目前免疫的國(guó)家有：

亞美尼亞（AM），阿塞拜疆（AZ），白俄羅斯（BY），愛(ài)沙尼亞（EE），格魯吉亞（GE），伊朗（IR），吉爾吉斯坦（KG），立陶宛（ LT），摩爾多瓦（MD），俄羅斯（RU），塔吉克斯坦（TJ），烏克蘭（UA） ， 烏茲別克斯坦（UZ） ， 土庫(kù)曼斯坦(TM)，敘利亞(SY)，拉脫維亞(LV)，哈薩克斯坦（KZ）。

免疫國(guó)家

7、注冊(cè)表項(xiàng)，新增一個(gè)WordLoad的鍵，用來(lái)作為加密記錄。如果Wordload的值為1，就退出。

注冊(cè)表項(xiàng)

8、如果不是在免疫國(guó)家列表當(dāng)中，那么接下來(lái)就要走入加密流程了。樣本會(huì)向https://2no.co/2SVJa5這個(gè)URL發(fā)送自己的IP物理地址。由于這個(gè)URL是個(gè)短連接，還原以后是https://www.bleepingcomputer.com/，bleepingcomputer是一個(gè)提供安全技術(shù)和信息的網(wǎng)站。

9、生成256位AES密鑰，并使用CBC模式加密文件。

10、加密后的文件會(huì)直接將原文件覆蓋，然后再重命名。

加密原文件后覆蓋寫入

重命名加密后的文件

11、加密完以后樣本還會(huì)自刪除：

12、最后更換桌面背景給受害者進(jìn)行提示：

解決方案

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時(shí)沒(méi)有解密工具，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。

深信服為廣大用戶免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip。

上述內(nèi)容就是KrakenCryptor2.0.7勒索變種的示例分析，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁(yè)題目：KrakenCryptor2.0.7勒索變種的示例分析
轉(zhuǎn)載注明：http://www.chinadenli.net/article36/geicpg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、自適應(yīng)網(wǎng)站、品牌網(wǎng)站建設(shè)、搜索引擎優(yōu)化、關(guān)鍵詞優(yōu)化、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)