cerber勒索软件分析

最新推荐文章于 2023-01-15 17:40:09 发布
最新推荐文章于 2023-01-15 17:40:09 发布
阅读量697 收藏 1
点赞数
分类专栏: 恶意样本分析 文章标签: 安全 http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/122537214
版权

前置

关于对称/非对称加密:对称加密和非对称加密的区别 - 姚春辉 - 博客园 (cnblogs.com)

常见的对称加密算法有: DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES

常见的非对称加密算法有: RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)

常见的摘要算法有: MD2、MD4、MD5、HAVAL、SHA

相关信息:

样本hash(MD5):   8b6bc16fd137c09a08b02bbe1bb7d670

样本运行流程

从样本的编译时间看,大概是在2017年,这个时候已经有不少的win10用户了;分析发现,cerber会判断当前系统的MajorVersion,如果是10,就会Sleep(0x2710)。样本主要分为4个部分:

1,前期的免杀 (当然现在系统都将该样本标记了,不过在当时应该是可以跑起来的)

2,中期的配置文件解密,各个参数获取  (密钥,ip/port,后缀列表,语言列表等)

3,高潮的文件加密,对特定目录下特定后缀文件进行加密

4,结尾的通知,勒索信息提示,桌面绘制等

重点看一下其文件加密部分:

  获取对称加密的密钥

    加密过程包含对称加密和非对称加密,导入密钥如下图所示:

                                                   导入rsa公钥 

生成rc4 key

   

                                                                       导入rc4 key

 大概流程:待加密的文件前n1个字节不变,从偏移n1读取n2字节,并计算剩余文件大小;将以上数据通过rsa加密,剩余文件通过生成的密钥进行rc4加密;最后将相关数据填写到文件对应位置。

总结:

   cerber这种采用rsa+rc4的文件加密方案导致,在没有私钥的情况下,最多能够解密出rc4加密的部分,rsa加密的部分是无法还原的。cerber运行,对文件完成加密后会自删除;如果没有样本,解密就无从下手了;还有其文件加密后的数据布局,即使找专业的技术人员来解密,花费的人力物力不一定比直接交赎金低。看到网上的一些文章说一定不要交赎金,有点莫名的喜感,这也太小瞧别人。

pureman_mega
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android勒索软件分析
m0_38103658的博客
04-24 678
Android勒索软件分析 0x00 前言 在2019年7月31日,安全厂商ESET的研究人员Lukas Stefanko探测到了一款针对Android用户的新型勒索软件Filecoder.C,此病毒第一次出现在Reddit和Android开发者论坛XDA Developer上,再透过受害者手机大量散布。截止至目前为止,大约有230万人次已被确认“中招”,而有趣的是即使受害者乖乖交了几百美金的“赎...
新型勒索软件PYSA浅析,又要如何防御??
MSB_WLAQ的博客
10-09 207
什么是勒索软件PYSA PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”,于2019年12月被首次命名,也就是Mespinoza被发现两个月后。最初被加密的文件被Mespinoza使用 .locked作为扩展名,然后转而使用 .pysa作为后缀,目前此勒索软件可能会交替使用PYSA和Mespinoza 这两个名称来命名被加密的文件。 PYSA与许多已知的勒索软件系列一样,被归类为勒索软件即服务(RaaS)工具。这意味着其开发人员已将这
加密勒索软件分析
JD san的博客
04-29 739
http://www.4hou.com/typ/8445.html 加密勒索软件分析
Ransomware Cerber Analysis
omnispace的博客
03-15 1066
Cerber是一个可执行程序,它的感染后行为没有CryptXXX这么隐蔽,可以说分析它的行为并不困难,但是它对内部数据的保护比CryptXXX做的好。例如: 我可以写一个简单反向算法就可以将CryptXXX中的所有加密数据提取出来,但是对于Cerber它显然在对内部数据的保护上下足了功夫,但这并没有阻挡我提取出它所有的内部数据。下面会详细的分析它如何保护内部数据的逻辑。 还需要了解的是,Ce
勒索软件Cerber和TeslaCrypt的区别-------典型的勒索软件家族
m0_37442062的博客
09-24 730
  CryptoLocker   图10 CryptoLocker感染分布图   2013年9月是勒索软件历史的关键时期,因为CryptoLocker诞生了。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式感染用户的勒索软件。CryptoLocker感染快速蔓延,因为威胁利用了现有的Game Over Zeus僵尸网络基础设施。在2014年的Opera...
Cerber Grid-开源
05-09
Cerber Grid是一种轻量级高性能网格,结合了简单易用和强大而通用的体系结构。
Cerber -- security module for FreeBSD-开源
05-04
Cerber-系统防火墙机制。 这是一个内核模块,它是FreeBSD的完整安全解决方案。
TkCerber-开源
05-02
项目描述:Tk-Cerber是一种客户端/服务器软件,旨在简化Linux QoS功能的易用性。 它在服务器端用Perl编写,在客户端用Perl / Tk编写。 平台:GNU / Linux
WannaCry、CTB-Locker、Cerber样本
03-02
资源中是WannaCry、CTB-Locker、Cerber样本,解压后将后缀名改为exe即可运行,一定要在虚拟机中运行,且虚拟机一定要与宿主机隔离、必须断网,否则会造成不可逆转的损失。 若在使用本资源时造成损失,本人概不负责...
spiral-cerber:Spiral 框架的认证和授权中间件
06-17
赛伯框架的认证和授权中间件安装 npm install spiral-cerber --save执照麻省理工学院许可证 (MIT) 版权所有 (c) 2014-2015 Krzysztof Winiarski 特此授予任何人免费获得本软件副本和相关文档文件(“软件”)的许可...
Maze勒索软件的最新样本分析
systemino的博客
04-09 1430
Maze勒索软件以前也被称为“ChaCha勒索软件”,于2019年5月29日被Jerome Segura发现。 Maze的最重要特征是,如果受害者不付款,他们将在互联网上发布受害者信息。 从上图可以看出,Maze的攻击已经遍布全球。 Maze的历史 从历史上看,该恶意软件使用不同的技术来获取进入权限,主要是利用漏洞利用工具包,具有弱密码的远程桌面连接或通过电子邮件模拟,或通过不同的代理...
2017勒索软件威胁形势分析报告
实验楼
01-04 969
关注「实验楼」,每天分享一个项目教程   2017年1-11月,360互联网安全中心共截获电脑端新增勒索软件变种183种,新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。正文共:1832 字 预计阅读时间:5 分钟2017年勒索软件攻击特点2017年5月,影响全球的勒索软件永恒之蓝勒索蠕虫(WannaCry)大规模爆发。它
勒索软件对企业的重大威胁分析
suzhouzhongli的博客
09-26 125
复杂且具有针对性的环境 根据有关机构显示的针对2021上半年全球网络信息安全的报告显示,在2021年上半年,全球范围内,针对企业、组织机构以及关键基础设置的网络攻击的次数以及攻击的形式、复杂程度,都在不同程度地呈现上升的趋势。由于需要面对当下全球疫情环境,部分企业、组织机构等采取的远程办公、学习的方式的用户们已然成为了网络攻击发起者的首要和重点攻击目标。 与2020年上半年相比,侦测到的全球网络攻击事件,相比于2021年,两者相差十倍,也就是说2021年的全球范围内的网络攻击事件发生愈发激烈和频发,仅仅
Cerber勒索软件中学习murmurhash算法
qianduan520的博客
10-26 482
近期,大量国内用户遭受到cerber勒索软件的侵害,cerber作为新起的勒索软件家族,大有后来居上的姿态,网上也有数篇对于cerber**勒索软件**的行为的分析。这款勒索软件,使用rsa非对称加密加密用户的文件,在没有私钥的情况下,基本上没有可能解密出被勒索的文档。这个勒索软件比较新颖的使用了murmur hash算法,本文本着学习的精神,对murmurhash算法的原理及在此款勒索软件中的使...
勒索软件:进化、分类和防御解决方案综述
Chahot的博客
09-21 1639
近年来,一种独特的恶意软件,即勒索软件,所涉及的事件数量急剧增加。这种臭名昭著的恶意软件不仅针对普通终端用户,还针对政府和几乎任何行业的商业组织。众多事件包括财富500公司[185]、银行[51]、云提供商[52]、芯片制造商[159]、邮轮运营商[177]、威胁监测服务[93]、政府[3,194]、医疗中心和医院[54]、学校[4]、大学[137],甚至警察部门[69]。据预测,由于勒索软件给组织造成的总损失将会持续到2021年,每11秒就会有一个新组织受到这些攻击[72]。
windows自带加密解密工具cipher 教程
www.i201314.net
11-16 4251
首先进入命令行输入:  cipher /? >cipher /? 显示或更改 NTFS 分区上的目录[文件]的加密。 CIPHER [/E | /D | /C] [/S:directory] [/B] [/H] [pathname [...]] CIPHER /K [/ECC:256|384|521] CIPHER /R:filename [/SMARTCAR
盘盘那些牛逼的勒索病毒(附样本)
最新发布
Peter_FHC的博客
01-15 3879
盘点那些比较牛的勒索病毒
VirusTotal 共享8000万勒索软件样本分析数据库
smellycat000的专栏
10-15 796
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌VirusTotal 扫描服务提供商指出,在2020年和2021年上半年活跃的勒索软件家族至少有130个。该公司分析了全球140个国...
Cerber Ransomware今年夏天不在假期
cunchi8090的博客
07-22 527
The well known Cerber ransomware continues to be active this summer. The size of the cryptolocker varies between 244 to 292 Kbytes, with the new builds spreading through spear phishing email campaigns...
勒索病毒自救指南
热门推荐
煜铭2011
07-02 1万+
0x00 勒索病毒背景 自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒,攻击者更是将攻击的矛头对准企业服务器,并形成产业化;而且勒索病毒的质量和数量的不断攀升,已经成为政企机构面临的最大的网络威胁之一。 即使安装了杀毒软件,即使防护再强,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值