欢迎进入币游官网(币游国际官网),币游官网:www.9cx.net开放币游网址访问、币游会员注册、币游代理申请、币游电脑客户端、币游手机版下载等业务。

首页科技正文

鲸鱼矿池(www.ipfs8.vip):JSWorm勒索软件的演变历程(上)_Allbet Gmaing下载

admin2021-09-1967资讯

Allbet Gmaing下载

欢迎进入AllbetGmaing下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,


在已往的几年中,勒索软件的攻击态势已逐渐发生转变。从2017年的大规模发作(如WannaCry,NotPetya和Bad Rabbit)起,许多勒索软件攻击者已转向隐秘但利润丰盛的“高回报攻击”战略。勒索软件导致某些全球性公司的服务中止的新闻现在变得司空见惯。

在某些情形下,这种全球趋势只是攻击连续生命周期的反映:旧的勒索软件家族关闭而新的勒索软件家族泛起并追求新的目的。然则,有时一个勒索软件家族已从大规模运营演变为针对性很强的攻击,而这一切都发生在两年之内。在这篇文章中,我们想谈谈一个名为JSWorm的勒索软件家庭的演变。

JSWorm勒索软件于2019年被发现,从那以后,泛起了诸如Nemty、nefilem、Offwhite等差其余变种。

每个“重命名”变种的一部门都宣布了多个版本,这些变种更改了代码、重命名的文件扩展名、加密方案和加密密钥等。

在下图中,我们先容了该木马使用的一些名称,以及响应的变种在野外(ITW)自动流传的日期(不是它第一次遇到的日期)。我们应该注重,该列表并不周全,但代表了JSWorm演进的主要节点。


除了名称更改外,该勒索软件的开发职员还一直在重新编写代码,并实验使用差其余流传方式。

在2020年的某个时刻,开发职员甚至将编程语言从C ++更改为Golang,重新最先完全重写代码。然则,加密方案、赎金通知和使用相同的数据泄露网站地址的相似性使我们信托这是统一流动。

该恶意软件的原始版本以及随后的某些“更名”,例如Nemty,是由地下论坛上的用户使用jsworm用户名宣布的。

早期JSWorm变种的论坛广告

流传方式

从2019年确立到2020年上半年,JSWorm作为公共RaaS提供,并通过以下方式流传:

RIG开发套件;

Trik僵尸网络;

伪造支付网站;

垃圾邮件流动;

从2020年上半年最先,公共RaaS已关闭,运营商最先对攻击目的举行了调整,有迹象解释,最初通过行使易受攻击的服务器端软件(Citrix ADC)和不平安的RDP接见提议的第一次攻击。

手艺细节

我们将形貌该恶意软件历史生长中遇到的JSWorm家族的一些著名变种。我们不会实验涵盖所有发现的这种恶意软件变种,由于它们太多了。这些日期示意考察到ITW响应变种的也许时间。

2019年5月:JSWorm

MD5:a20156344fc4832ecc1b914f7de1a922

该样本是JSWorm勒索软件最早发现的变种之一,与后续版本差其余是,它不包罗内部版本号。该样本使用C ++开发,并在MS Visual Studio中举行编译。

除文件加密外,它还执行诸如住手大量正在运行的历程和服务之类的操作,以最大化可用于加密的文件数目。此外,它删除所有系统备份、卷影副本、禁用系统恢复模式并祛除事宜日志。

加密方案

使用带有256位密钥的Blowfish密码的自界说修改对文件举行加密。密钥是在程序执行最先时凭证字符串的串联天生的:用户名,装备MAC地址和卷序列号(注释中的样本值)。

密钥天生历程

然后,天生由赎金通知称为“JSWORM PUBLIC KEY”的字符串。现实上,这里不使用非对称密码学,在这种情形下,使用“public”一词是没有意义的。勒索软件开发职员所谓的“ JSWORM PUBLIC KEY”现实上是上述的Blowfish密钥与字符串“KCQKCQKCQKCQ”举行XOR运算,并以Base64编码。

与“KCQKCQKCQKCQ”键举行异或

以下是密钥盘算的样本,其中选择了序列号和MAC地址值用于说明目的:

Blowfish秘钥: “53385773534FE:ED:00:DE:AF:00user”;

异或后的公钥: “5xpi~tfxvb\x05\x14q\x06\x15qsaq\x07\x14q\x02\x17qsa>049”;

转换为Base64后的公钥: “NXhwaX50Znh2Yn8FFHEGFXFzYXEHFHECF3FzYT4wNDk=”;

自界说版本的Blowfish用于加密每个受害者文件的内容,最多可以加密100000个字节,这可能会加速大文件的加密速率,加密的数据将笼罩原始数据。

开发职员更改了Blowfish密码的内部实现,这导致它与尺度实现不兼容,可能是为了使研究职员更难明密。

在对文件的内容举行加密后,程序会对其举行重命名。一个附加扩展名" .[ID-…][mail@domain.tld]. jsworm "被添加到文件名中。

加密缺陷

该恶意软件实质上将可用于解密的密钥保留在赎金通知中。使用Base64解码息争除异或处置异常简朴,受害者的数据可以在不支付赎金的情形下保留。纵然赎金通知单由于某种缘故原由丢失了,密钥也可以很容易地在受熏染的装备上重新天生。

2019年7月:JSWorm 4.0.3

MD5:5444336139b1b9df54e390b73349a168

JSWorm的改善和更新版本,试图修复以前版本中发现的破绽。

此样本包罗对受熏染装备的语言检查。这很可能是为了防止使用以下语言的系统上的数据加密:RU(俄语),BE(白俄罗斯语),UZ(乌兹别克语),KY(吉尔吉斯语),TG(塔吉克语),TK(土库曼语),KK(哈萨克斯坦语),UK(乌克兰语)。

确定用户的语言

然而,可能是由于开发时泛起的错误,此版本的勒索软件仅在系统语言为俄语时才加密文件。若是我们仔细考察上述条件,可以看到第一个条件是“!=”(“不即是”)。这使木马执行的代码分支在语言不是俄语的系统系统上无需加密即可退出。若是条件为“==”,则将接纳另一个分支,从而导致可能是该木马最初预期的行为。

此变种中的赎金通知被实现为一个名为< ID > -DECRYPT.hta的HTA文件,其中< ID >是恶意软件流传的唯一受害者ID。 HTA文件在文件加密完成后启动,并通过注册表添加到自动运行中:

reg添加HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “zapiska” /d “C:\Users\user\JSWRM-DECRYPT.hta”;


JSWorm 4.0.3的赎金说明

加密方案

此版本的JSWorm使用RSA的WinAPI实现和AES的自界说实现来加密文件。 JSWorm天生两个128位(IV)和256位(密钥)的随机值,这些值仅限于以下字符:a…z,A…Z和0…9。RSA公钥被嵌入到勒索软件中:

JSWorm 4.0.3中使用的RSA公钥

使用此密钥,JSWorm加密AES密钥和初始化向量(IV)并将其编码为Base64:

JSWorm 4.0.3中的WinAPI RSA加密

然后,该值被添加到勒索软件注释 < ID > -DECRYPT.hta中,然则该值自己并未以视觉方式显示,由于它作为HTML注释位于文件内部。

.hta赎金通知文件中的值

为了使解密实验对研究职员加倍难题,恶意软件开发者实现了一个自界说的AES分组密码的变种,它与尺度算法不兼容。受害者的文件内容通过上述密钥和IV的密码举行加密。

与以前一样,为了举行优化,只有前160000个字节在大文件中被加密。加密后,文件名将附加一个扩展名,这与我们在前面的样本中所看到的很相似:" .[ID-NQH1J49][doctorSune@protonmail.com]. jswrm "。

加密缺陷

在JSWorm的这个变种中,开发职员试图修复研究职员在以前版本中发现的缺陷。然而,仍然可以举行不付费的解密。用于天生密钥和IV的伪随机数天生器在密码上并不平安,它允许研究职员通过攻击天生算法来恢复密钥和IV。知道了这些值,他们就可以解密受害者的数据。

2019年8月:Nemty 1.4

MD5:1780f3a86beceb242aa81afecf6d1c01

JSWorm和Nemty之间的代码更改异常主要。凭证我们的剖析,恶意软件开发职员可能已经重新最先重写了他们的木马程序,可能是为了防止乐成的解密实验,该实验使JSWorm的多个早期变种的受害者可以不支付任何用度来恢复其数据。

该样本也用C ++开发,并在MS Visual Studio中编译。它实现了一个由字符串混淆算法组成的较小的反剖析技巧。字符串(例如,赎金通着名称和内容,RSA公钥,付款URL等)由RC4流密码使用硬编码的密钥“ *** av”举行加密,并在Base64中举行编码。

Nemty 1.4赎金通知

启动后,该样本将网络有关毗邻到受熏染盘算机的存储装备的信息,通过对http://api.ipify.org的HTTP请求获取其外部IP地址,并通过从http://api.db-ip.com/v2/free/请求数据天生一对RSA-2048会话加密密钥,并将所有网络的信息合并为JSON结构,来确定受害人所在的国家/区域。 然后,该结构通过攻击者的公共RSA密钥举行加密,并在赎金通知的末尾以“NEMTY DECRYPTION KEY”末尾。

在通过RSA加密之前网络的信息

此结构中有一些稀奇之处需要注重:

isRU:指定由外部IP地址确定的受害国是否为以下国家之一:俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦,乌克兰;

版本:木马的内部版本;

CompID:受熏染装备的唯一ID;

FileID:每次恶意软件启动时天生的熏染ID;

UserID:隶属机构的ID,在木马样本中举行硬编码;

密钥:用于文件加密的base64编码密钥(稍后将讨论);

pr_key:base64编码的私有会话RSA-2048密钥(稍后将讨论);

加密方案

该木马样本包罗攻击执行者的硬编码RSA-8192公钥,我们将其称为主RSA公钥。

在受害者盘算机上执行该木马程序后,它还会天生一对会话RSA-2048密钥,并将上面提到的私钥称为pr_key。除此之外,它还会天生一个256位密钥,该密钥将与基于AES的自界说分组密码一起使用。

256位密钥和pr_key由主RSA公钥加密,并保留在赎金说明中。

在对每个受害者的文件举行加密时,Nemty 1.4将天生一个128位的IV,并使用带有该IV的256位密钥通过基于AES的自界说密码对文件内容举行加密。 IV由会话公共RSA密钥加密,,并附加在加密后的文件中。

每个加密的文件都市被重命名,从而获得一个分外的扩展名”。_NEMTY_< … >_ ",其中被跳过的部门是上面提到的熏染ID FileID。

加密缺陷

像JSWorm的某些早期变种一样,Nemty 1.4中加密方案的实现也不是完善无缺的。行使两个破绽就可以对受害者的文件举行解密:

1.密钥天生的PRNG是不平安的;

2.RSA会话密钥没有从系统存储中删除;

通过使用第一个破绽,可以恢复256位密钥,而使用第二个破绽可以恢复pr_key。知道pr_key后,受害者就可以解密IV,然后使用256位密钥和IV解密受害者的文件内容。

C&C相同

该样本从https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip下载TOR客户端,将其提取并在受熏染的盘算机上启动。守候30秒(恶意软件开发职员显然以为足够长的时间才气毗邻到TOR网络)后,木马将有关熏染的信息发送到样本中经由硬编码的C&C服务器:

zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion

使用含有 URI /public/gate?data=的HTTP GET发送到服务器的信息与每个赎金通知中保留的信息相同,本质上是上述JSON结构的加密版本。

本文翻译自:https://securelist.com/evolution-of-jsworm-ransomware/102428/

IPFS

www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论

3条评论
  • 2021-09-05 00:03:50

    国足要从40强赛杀出重围,未来4场全胜即可不看别人神色,拿到8-10分也将大概率出线。由于马尔代夫和关岛对国足没有威胁,实际上左右国足远景的只是面临菲律宾和叙利亚2支球队,在这2支球队身上拿分亦可无忧。整体偏好吧(非专业的

最新评论

  • 皇冠APP 08/30 说:

    USDT线下交易www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺

    看了一点,有空继续

  • 皇冠APP 08/30 说:

    USDT线下交易www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺

    看了一点,有空继续

  • 新二皇冠最新手机登录 08/30 说:

    菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。有创意无槽点,荐

  • 新2代理手机管理端 08/30 说:

    欧博亚洲电脑版下载www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    没有华丽辞藻,就一个好!

  • 皇冠注册 08/30 说:

    免费足球推荐www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

    厉害了,还能这样写

  • 皇冠登1登2登3 08/30 说:

      3、奇云-杜兰特+80有读者跟我互动吗

  • 新2手机管理端 08/30 说:

    U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。悄悄走过~

  • 皇冠注册平台 08/30 说:

    欢迎进入欧博亚洲网址(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。可以看看,不会失望