怎样不交赎金就解开被LooCipher加密的文件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

怎样不交赎金就解开被LooCipher加密的文件

申博_安全防护 申博 57次浏览 未收录 0个评论

LooCipher是一种新型的分布式讹诈软件,之前已有文章讨论过其主要行动、流传体式格局和与C2的通讯机制,而本文将专注于LooCipher的文件加密机制和在不付出赎金的情况下看看解密的能够性。

LooCipher看上去是相称直接的,它没有运用任何殽杂,不过却运用了如Crypto++之类的高等库来完成加密功用,与那些运用初级Windows api的讹诈软件比拟,逆向工程反而要要更难题一些。

文件加密机制

我们的FortiGuard Labs团队在歹意软件中发明了几类加密算法,比方DES(数据加密规范),AES(高等加密规范)和ECC / ECDSA(椭圆曲线暗码或椭圆曲线数字签名算法)——但在我们的测试中只要AES-128 ECB(电码本)形式用于加密文件,不过考虑到LooCipher是近来才发明的,能够仍处于初始开辟阶段,加密算法代码多是留给今后运用的。

LooCipher运用当前体系时候作为种子,从以下预定义字符中随机挑选字符,天生一个16字节的数据块,从而最先其加密例程。

怎样不交赎金就解开被LooCipher加密的文件

图1.用于天生随机16字节数据块的预定义字符

随后数据块会被打乱以天生16字节密钥,该密钥在AES-ECB算法加密文件时运用,用于一切文件加密,这点与大多数讹诈软件差别,后者平常是为每一个加密文件天生差别的密钥。

怎样不交赎金就解开被LooCipher加密的文件

图2.16字节AES密钥

以下目次被消除在文件加密例程以外,以防备损坏Windows操纵体系启动和一般事情时运用的症结文件。

怎样不交赎金就解开被LooCipher加密的文件

图3.免去加密的目次

以后LooCipher会搜刮一切驱动器来加密具有以下扩大名的文件。

怎样不交赎金就解开被LooCipher加密的文件

图4.查找特定的扩大名分文件加密

找到目的文件后,LooCipher会建立一个文件,个中包含要加密文件的原始称号,然后在称号中增加.lcphr扩大名,并运用天生的16字节随机密钥经由过程AES-128 ECB算法加密目的文件内容,再将其写入新建立的文件中,并将原始文件保存为0字节文件。

怎样不交赎金就解开被LooCipher加密的文件

图5.加密文件的扩大名是.lcphr

我们能够在Python中建立一个简朴的AES-128 EBC形式解密代码,来考证解密文件是不是可行。

怎样不交赎金就解开被LooCipher加密的文件

图6.解密AES-128 ECB形式下的加密文件

怎样不交赎金就解开被LooCipher加密的文件

图7.胜利解密了加密文件

可否恢复加密文件?

我们剖析的LooCipher版本仅运用AES-128 ECB形式来加密文件,且由因而在ECB形式下实行的,因而它不须要IV(初始向量),只须要16字节密钥,该密钥是从以下74个字符中随机天生的:

怎样不交赎金就解开被LooCipher加密的文件

图8.预定义的74个字符,从中天生随机密钥

AES是对称密钥算法,意味着加密和解密数据都用雷同的密钥,因而恢复文件只须要加密密钥就能够了。

这也差别于其他同时运用对称和非对称加密的讹诈软件,在那些情况下,只要获得了进击者私钥才解密文件。

由于LooCipher在加密一切文件时只天生单个密钥,而且是从上图的74个字符中挑选天生的,因而看上去彷佛比其他讹诈软件更轻易破解加密文件,但事实证实并非如此。

要暴力恢复密钥,我们起首须要将原始文件与解密文件举行比较,然后须要测试这74个字符构成的一切能够的组合——即最多实行74的16次方 = 808,551,180,810,136,214,718,004,658,176 (808千的十六次方)次AES-128 ECB操纵,纵然在超等盘算机上也会消费异常长的时候。

AES-128 ECB形式下有类明文进击,能在不损坏密钥的情况下解密密文,但这须要一个一直运转的加密oracle(在这类情况下应当是LooCipher历程),而LooCipher只实行其加密例程的单次运转,因而这是不可完成的。另外,此要领经由过程迭代一切能够的值并将结果与参考值举行比较也将消费大批时候。

从C2通讯流量中恢复密钥

捕捉讹诈软件进击时期的收集流量确切异常有效,尤其是像LooCipher如许的讹诈软件,会将加密密钥发送到C2(敕令和掌握)服务器,再保存在C2服务器的数据库中,发送内容包含:受害者ID (u)、已编码的AES密钥(k)和盘算机的IP地点(i)。

网络安全状态月度报告-2019年6月

一、网络安全状况概述 2019年6月,互联网网络安全状况整体指标平稳,但是有两个重要特征值得关注。 一方面,病毒攻击态势呈上升趋势,整体较上月增加7%。其中挖矿病毒活跃程度增加较多,其病毒攻击的拦截量较5月增加11%,安全防护薄弱的企业是主要受灾对象,教育行业、政企单位的感染程度也有所增加。挖矿病毒的近期活跃程度增加可能与比特币价格持续走高有关。 另一方面,多个严重漏洞披露。Microsoft在官方安全更新公告中一共披露了88个漏洞的相关信息,其中21个获得了“严重”评级,这是微软有史以来漏洞严重程度最高的一次排名。Oracl

怎样不交赎金就解开被LooCipher加密的文件

图9.发送到C2服务器的数据

由于AES是一种对称密钥算法,我们只须要解码k的值,荣幸的是,k只是用某种位置编码举行编码的。键中的每一个字符都由一个值示意,该值取决于字符在数组/字符串中的位置。

怎样不交赎金就解开被LooCipher加密的文件

图10.运用位置编码的键示意

下面的python代码显现了如何解码k的值。

怎样不交赎金就解开被LooCipher加密的文件

图11.解码LooCipher AES密钥的剧本

收集捕捉的k值是“69604607186414680318386143262470”,它是原始AES密钥“X?+evRC1%v_hIc4G”的示意。

怎样不交赎金就解开被LooCipher加密的文件

图12.显现解码的AES密钥的输出

接着我们能够运用以下剧本解密加密文件。

(免责声明:请注重,虽然此处的一切剧本都是为了协助用户恢复加密文件而编写的,但您须自行负担运用它们的风险。)

怎样不交赎金就解开被LooCipher加密的文件

图13.解密加密文件

然则,我们不能够一直在捕捉流量,因而这类要领能够并不老是有效。

从正在运转的LooCipher历程的内存中恢复密钥

要运用此要领,那末LooCipher的第一个实例应当仍在运转。假如有AV东西已将LooCipher删除,而且其历程已停止,则密钥将没法从内存中恢复,由于LooCipher运用的是当前时候作为天生密钥的种子;但假如LooCipher仍在运转,我们能够从其历程内存中提取密钥。

我们起首运用Sysinternals ProcessExplorer建立LooCipher历程内存的完全转储。LooCipher运用随机天生的历程名。

怎样不交赎金就解开被LooCipher加密的文件

图14.建立LooCipher历程内存的完全转储

转储内存后,我们能够运用PowerShell搜刮天生的URL。只需输入以下敕令:

Select-String –Encoding Unicode –Path <memory dump file> -Pattern ‘(ttps?://.*/k.php.*o=[0-9])’ –AllMatches | %{$_.Matches} | %{$_.Value}

注重:假如Unicode编码不起作用,请运用BigEndianUnicode。

怎样不交赎金就解开被LooCipher加密的文件

图15.用PowerShell搜刮天生的URL

从上面能够看出,该敕令为我们供应了一堆对编码密钥的援用。

Sysinternals Strings和findstr敕令也能够为这些字符串供应对编码键的援用。

 怎样不交赎金就解开被LooCipher加密的文件

图16.运用Strings和FINDSTR搜刮天生的URL

猎取URL后,我们如今能够运用图13中供应的剧本解码密钥并解密文件了。

检察感染时候戳以天生密钥

虽然我们以为能够依据感染时候戳天生密钥,但还没有完成任何观点考证,现在我们还在研讨这个题目,愿望不久后能宣布一些关于其讹诈软件家属运用当前时候作为种子发生随机密钥的研讨。

结论

LooCipher现在仅运用了AES-128 ECB形式,考虑到我们在代码中可看到了许多封装的加密算法,申明它能够仍处于初始开辟阶段,未来能够会在机制上做出转变。

然则,在此发生变化之前,我们已证实仍有时机恢复LooCipher加密文件。AES对称密钥算法以及感染时期的流量捕捉,都能让闇练的剖析师从发送传送的数据中提取密钥;假如没法捕捉收集流量但LooCipher仍在运转,则能够从内存中提取密钥,然后经由过程该密钥和AES-128 ECB的机制来恢复文件。

我们将对LooCipher后续的变化做亲昵关注。

原文地点: https://www.4hou.com/web/19266.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明怎样不交赎金就解开被LooCipher加密的文件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址