WannaCry勒索病毒文件加密密碼結構

2020-12-15 秦安戰略

引言勒索病毒Wannacry爆發已經過去一周了,由於該病毒採用加密用戶文件方式進行勒索,許多朋友對該病毒文件加解密過程比較感興趣。在已見到的病毒分析報告[1-4]中對文件加解密過程描述的比較零散。為便於全面理解病毒使用的密碼技術,本文綜合多家的分析報告,從密碼技術角度勾勒出該病毒文件加解密基本框架。包括加密策略、密鑰結構、密鑰生成與保護等,為有興趣者提供該病毒使用密碼技術的畫像。文章最後指出了病毒文件加解密分析遺留的問題。

1.密碼要素

RSA2048非對稱密碼算法國際標準非對稱密碼算法。其功能由Windows系統提供API接口,病毒調用該算法對密鑰實施加密保護。算法使用一對公、私鑰進行加解密操作:公鑰負責加密,私鑰負責解密(反之亦可,同於數字籤名)。密鑰長度2048比特(256個字節)。AES-128對稱密碼算法

美國標準,國際流行對稱密碼算法。編程庫函數編譯連接到病毒程序中。該算法對感染主機文件實施加密。算法採用128比特數據分組加密方式,加解密密鑰相同,密鑰長度128比特(16個字節)。網絡密鑰對(WK)

由病毒攻擊者生成,一組全網使用的公私鑰對(WKp,WKs)。作用於RSA2048算法,保護受感染主機的「主機密鑰TK」,其公鑰(WKp)隨病毒文件傳播,私鑰(WKs)由病毒攻擊者掌握。主機密鑰對(TK)病毒在每個感染主機上生成的公私鑰對(TKp,TKs)。作用於RSA2048算法,保護「文件密鑰FK」,其公鑰(TKp)明存在00000000.pky文件中,私鑰(TKs)由網絡密鑰對(WKp)加密存放在00000000.eky文件中。文件密鑰(FK)

病毒加密文件時生成的隨機數。每加密一個文件生成一個FK。

本文將以上要素用圖例表示:

2.三級密鑰結構病毒採用網絡密鑰對WK、主機密鑰對TK以及文件密鑰FK三級密鑰結構,以保證加密文件勒索過程的安全性。由WK用RSA算法保護TK,TK用RSA算法保護FK,FK用AES算法對文件進行加密。文件解密時,由WK解密TK,TK解密FK,FK解密文件。病毒執行後生成一組公私鑰對作為「主機密鑰對TK」

主機密鑰對-公鑰(TKp)保存在00000000.pky文件中;

主機密鑰對-私鑰(TKs)經網絡密鑰對-公鑰(WKp)加密,記RSA(TKs)WKp,保存在00000000.eky文件中,待病毒攻擊者使用網絡密鑰對-私鑰(WKs)進行脫密。

為什麼不採用兩級密鑰?由網絡密鑰WK直接加密文件密鑰FK,省掉主機密鑰TK。去掉主機密鑰TK,安全性上沒有問題,但由於FK需要在攻擊者伺服器端進行脫密,全網受感染主機每個文件解密都要與攻擊者伺服器進行密鑰解密通信,將造成通信瓶頸。

3.文件加密病毒為每個加密文件生成一個文件密鑰(FK);病毒遍歷主機文件進行加密,如圖2。

4.文件密鑰FK保護每一個文件加密後,用主機密鑰對-公鑰(TKp)對每個文件密鑰FK1、FK2、FK3…FKn進行加密生成RSA(FKn)TKp,並存入對應的加密文件頭結構中。如圖3所示。

5.文件解密雖然到目前為止還沒有用戶交贖金後加密文件被解密的報告,根據其密鑰結構設計以及病毒代碼分析可以確定文件的解密邏輯。受害人操作病毒提示界面,通過網絡(匿名網Tor)向病毒攻擊者交付贖金(比特幣),病毒將RSA(TKs)WKp(由網絡密鑰對-公鑰WKp加密的主機密鑰對-私鑰TKs)發送給攻擊者,如圖4①②所示。

病毒攻擊者(伺服器)確認收到贖金,用自己的網絡密鑰-私鑰(WKs)對RSA(TKs)WKp進行解密還原TKs,並發回受害人主機,存入00000000.dky文件,如圖4③④⑤所示。受害人點擊病毒界面「Decypt」按鈕,病毒程序從每個加密文件中讀取RSA(FKn)TKp,使用00000000.dky文件TKs對其進行解密,還原文件密鑰FKn;病毒程序用解密後的FKn對加密文件進行解密。

6.文件加密策略為兼容性考慮,病毒不對主機所有的文件進行加密;為效率考慮,對較大的文件(如大於1.5MB),只加密文件中的一部分(10%左右);病毒攻擊者為使受害人相信被加密的文件可以恢復,除了本文以上介紹的密鑰,攻擊者在病毒程序中預製了另一對公私鑰,用法與主機密鑰TK一樣,以明文方式存放在病毒代碼中,讓受害人不用交贖金,自己操作解密一部分文件。(實際上,使用這對公私鑰沒有意義,因為私鑰是明存的,對FK的加密已失去保護意義,直接將FK明存在加密文件中即可。)

7.有待研究的問題由於沒有發現交贖金後病毒通過Tor網絡與攻擊者建立聯繫實例,尚無病毒與攻擊者伺服器目標地址分析報告。因此,還需進一步對文件解密過程進行再現驗證;對網絡密鑰對(WK)真實性,以及其RSA密鑰的符合性進行分析;

進一步分析主機密鑰對-私鑰(WKs)生成後,其加密、存儲過程,找出其明現的蛛絲馬跡;國內受害人一般不使用Tor(匿名網),因此如果攻擊者有一天一旦出現,可以對加密文件進行恢復,我們應該如何應對?

參考文獻[1]http://news.163.com/17/0518/12/CKNID17N00014AEE.html[2]http://www.tuicool.com/articles/UJjm6rU[3]http://www.2cto.com/article/201705/639532.html[4]https://modexp.wordpress.com/2017/05/15/wanacryptor/?from=groupmessage&isappinstalled=0

相關焦點

  • WannaCry爆發三周年,回顧勒索病毒帶給我們的恐懼
    時過3年,回顧當時wannacry所造成的影響依舊是令人震驚的,這一次的事件讓很多人聞「勒索病毒」色變,也真正讓許多企業和機構正視網絡安全的重要性。其實,勒索病毒並不是個新鮮的事物,早在2005年,江民反病毒監測中心就攔截了國內第一個勒索病毒樣本並命名為「敲詐者」病毒,當時的勒索攻擊還相對原始,無論是從攻擊的目的性還是攻擊方式的複雜性都無法和現在比較。WannaCry之後,更多的黑客組織發現,用勒索病毒鎖定受害者電腦中的重要文件進行敲詐,是短時間內撈錢最快的方式。
  • 幽靈勒索病毒再度來襲,加密上百種常用文件
    經分析發現,攻擊者通過發送釣魚郵件,誘導受害者打開並運行附件中的惡意JS腳本,進而下載Shade(幽靈)勒索病毒。該勒索病毒會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點,之後再通過這些被入侵的站點繼續傳播Shade(幽靈)勒索病毒。截止目前,已有超過2000個CMS站點遭到入侵。
  • GlobeImposter勒索病毒偷襲醫院 360推出「遠程登錄保護」功能
    勒索病毒興風作浪 重點攻擊企業伺服器據了解,湖南某醫院多臺伺服器所感染的病毒名為GlobeImposter勒索病毒,感染該病毒後,導致資料庫文件被加密,醫院信息系統無法正常使用,取號、辦卡、掛號、收費等業務受到病毒影響,只有支付比特幣贖金才能恢復數據文件。
  • WannaCry爆發兩周年,會有下一個「網紅級勒索病毒」出現嗎?
    4、ParadiseParadise(天堂)勒索病毒最早出現在2018年七月份左右,該勒索病毒運行後將會加密所有找到的文件,但不會加密系統以及部分瀏覽器文件夾下的文件。為防止加密文件造成的CPU佔用卡頓,還會釋放專門的模塊偽裝Windows補丁更新狀態。6、Satan撒旦(Satan)勒索病毒在2017年初被外媒曝光,該病毒由於文件加密算法和密鑰生成算法的缺陷,導致多個病毒版本被破解,加密文件可解密。
  • 騰訊反病毒實驗室:揭秘WannaCry勒索病毒的前世今生
    遺憾的是,勒索病毒的作者也利用了這個特性,使得我們雖然知道了木馬的算法,但由於不知道作者使用的密鑰,也就沒有辦法恢復被惡意加密的文件。加密算法通常分為對稱加密算法和非對稱加密算法兩大類。這兩類算法在勒索病毒中都被使用過。
  • GlobeImposter勒索病毒「假貨」上線 破解密碼竟藏在這裡
    近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。該「勒索病毒」疑似通過SQL Server爆破攻擊,之後通過網絡下載攻擊代碼(含WinRAR加密模塊),將用戶數據文件使用WinRAR加密壓縮;隨後,攻擊者將再盜用GlobeImposter勒索病毒的勒索消息內容,冒充GlobeImposter勒索病毒恐嚇用戶,索取酬金。
  • 模仿WannaCry新勒索病毒WannaRen爆發 多家機構發布解密工具
    近日,一款新型勒索病毒WannaRen意外爆發。該勒索病毒可以加密Windows系統中幾乎所有類型文件,想要恢復文件則需支付0.05個比特幣(約2580人民幣)的贖金。據安全機構分析,WannaRen與2017年全球爆發的WannaCry病毒類似,兩者不僅都是藉助「永恆之藍」漏洞擴散,入侵電腦後顯示的勒索信息,界面布局及文件信息也都神似Wannacry。如病毒入侵電腦後,都會彈出勒索對話框,並向用戶索要比特幣。
  • 勒索病毒「想哭」席捲下,你的電腦還安全嗎?
    時間:2017年5月12日 方式:自我複製、主動傳播、加密文件 經過分析,這是一起勒索軟體與高危漏洞相結合的惡性蠕蟲傳播事件,其嚴重性不亞於當年的「衝擊波」病毒。 勒索軟體為最新的「wannacry」的家族,目前尚無法對加密後的文件進行解密,中招後只能重裝系統或向黑客支付贖金解決。
  • WannaCry勒索病毒的啟示 與其亡羊補牢不如未雨綢繆
    自5月12日上午始,一個名為WannaCry勒索病毒的瘋狂肆虐一度「逼哭」了成千上萬個受害者。截至目前,這起大規模勒索病毒網絡爆發事件至今已襲擊了全球150多個國家或地區,包括教育、電力、能源、銀行、交通、醫療、企業等多個行業均遭受不同程度的影響,中國也成為此次勒索病毒爆發的重災區。WannaCry的肆虐已發展成為史上全球規模最大的勒索病毒網絡攻擊事件。
  • 聊聊勒索病毒處置經驗
    但是另一方面,由于勒索病毒使用了非對稱加密方式對機器上的所有數據文件進行加密,如果沒有對應的解密密鑰,被加密後的文件基本不可能再被解密和還原。因此對已經感染勒索病毒的個人電腦和伺服器,如果之前沒有及時進行數據備份,可能會因為關鍵數據丟失而造成無法挽回的損失。
  • 一個極具破壞性的勒索病毒——LockerGoga
    一個極具破壞性的勒索病毒——LockerGoga 2019-04-11    威脅等級:★★★★LockerGoga勒索病毒是一個極具破壞性的勒索病毒,該病毒影響惡劣,不僅會設置開機密碼,同時還會加密電腦中的文件
  • 2018勒索病毒全面分析報告
    圖:LockScreen勒索截圖2、勒索病毒第二階段:加密數據,提供贖金解鎖文件2013年,以加密用戶數據為手段勒索贖金的勒索軟體逐漸出現,由於這類勒索軟體採用了一些高強度的對稱和非對稱的加密算法對用戶文件加密,在無法獲取私鑰的情況下要對文件進行解密,以目前的計算水平幾乎是不可能完成的事情。
  • 斯福賽特:勒索病毒是什麼?要怎麼預防?中了勒索病毒還有救嗎?
    2.病毒加密:該類勒索為最常見的病毒類型攻擊手法,主要分為兩類,一是劫持作業系統引導區禁止用戶正常登錄系統,二是使用高強度的加密算法加密用戶磁碟上的所有數據文件,兩種方式可能存在相互引用。病毒由於使用高強度的對稱或非對稱加密算法對數據進行了加密,當無法拿到文件解密密鑰的情況下,解密恢復文件的可能性極低。這也是勒索病毒攻擊者能一次次得手的技術前提。
  • 勒索病毒WannaCry到底是什麼?
    答:WannaCry病毒會給用戶電腦加密,令用戶無法訪問電腦中的文件或程序。   This type of virus is also known as ransomware.   黑客要求用戶支付贖金來解鎖電腦。
  • 連載|網絡法典型案例評析——WannaCry勒索病毒事件
    一、案例簡介2017年5月12日, WannaCry勒索病毒通過MS17-010漏洞在全球範圍爆發,受到該病毒感染的磁碟文件資料都無法正常打開,只有支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
  • 繼WannaCry之後 WannaRen病毒也來勒索比特幣了
    近日,新型比特幣勒索病毒WannaRen開始蠢蠢欲動。類似於之前的WannaCry病毒,WannaRen入侵電腦後會加密系統中幾乎所有文件,彈出對話框如果用戶要恢復文件需支付0.05個比特幣的贖金。通過文字和圖片發送勒索信息是WannaRen病毒的兩個變體。目前該病毒尚未利用RDP、SMB等高危漏洞進行主動擴散,較WannaCry結合永恆之藍漏洞在內網進行快速傳播,其破壞範圍和能力相對比較有限。
  • 新型勒索病毒Attention感染醫療與半導體行業
    近日,深信服安全團隊檢測到一種全新的勒索病毒正在活躍,攻擊者針對製造行業、醫療行業等目標,通過社會工程、RDP遠程爆破等方式手動投放勒索病毒,且進行加密後會人工刪除勒索病毒體和入侵日誌。該勒索病毒加密後會修改文件後綴為大寫的隨機[10-12]個英文字母,並釋放勒索信息文件,運行後會進行自複製,但通常情況下複製體會被攻擊者手動刪除。深信服安全團隊將該勒索病毒命名為Attention勒索病毒。截止目前,已有多個省份出現感染案例,該勒索病毒暫時無法解密,嚴重危害業務安全,建議提高警惕,及時防範。
  • 使用白籤名的PyLocky勒索病毒正通過垃圾郵件傳播
    具有正規數字籤名的文件極易被安全軟體放行;   3.被加密的文件擴展後綴為.lockedfile,分析該病毒的加密原理,沒有私鑰無法解密;   4.根據勒索信息,受害者若想解密受損文件,必須使用tor瀏覽器訪問境外網站(暗網)購買解密工具。
  • 「我被勒索了」——Buran病毒
    大東:勒索病毒主要是利用漏洞傳播,通過加密數據文件來勒索。它從2017年開始就大規模出現了,逐漸形成了一個產業。所謂產業就是說有一批人職業做這個,以此謀生。黨妹遭遇的Buran病毒是比較初級的病毒,傳播途徑很傳統,主要利用郵件附件傳播,附件通常是一個Word或者Excel文件。 小白:我覺得勒索病毒還是值得我們對其加大關注。
  • Paradise勒索病毒曝新變種,竟通過IQY文件擴散
    近日,安全研究人員發現了Paradise勒索病毒的最新變種,其竟利用Internet Query Files(IQY)文件來擴散,該勒索病毒家族過去從未用過這類文件。IQY文件可用來下載一個可執行PowerShell和CMD等系統工具的Excel公式,而且因為是利用正常的Excel文件類型,所以還能避開安全軟體的偵測。該勒索病毒是通過含有IQY附件文件的垃圾郵件來擴散。當附件文件一旦被開啟,就會向不法分子的幕後操縱(C&C)伺服器取得一個惡意的Excel公式。