在加密过程中,为了保证系统正常运行,如下几个目录会被木马跳过:
Windows、program files、program files(x86)、system volume information、 $recycle.bin
木马的加密方式为AES256对称加密, key为之前得到的key1, IV为key2,以0×1000为单位循环加密 ,对于文件大小小于0×1000的文件,使用0来 补齐。大于0×1000的文件,最后不够0×1000的内容重复使用 之前的buffer补齐。
加密完文件后,对于原始文件木马并没有 马上直接删除,而是先生成随机数进行填充 ,并且篡改了文件的创建时间、最后访问时间等,最后再进行删除 。这样做的目的是防止使用一些文件恢复工具进行恢复, 从中也可以看出此木马为了获取非法利益给受害者造成了非常大的破坏。
在加密了全盘文件后,木马会打开HTML和TXT文件 ,并且修改桌面背景以通知用户支付赎金。
密钥与解密:
在加密过程中,可以看到木马使用的是 AES加密,所以如果知道密钥是可以恢复文件的,而密钥获取 是通过向服务器POST请求拿到PASSWORD,然后通过SHA512计算 来的。遗憾的是,就算使用固定的 HWID,IP等信息,每次请求获取到的PASSWORD 都不相同,可见服务器进行了一些随机化处理,因此这个方法获取 密钥是行不通的。
不过,服务器传回的PASSWORD信息,在木马 的主体,也就是RegAsm.exe进程的 内存里可以找到,而且RegAsm.exe在完成所有加密后并不会退出, 因此如果在用户重启电脑之前,能够从内存中提取出这段密钥,可以尝试还原被加密的文件。
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。
发表评论