瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件

2019-05-07   

近日,瑞星安全专家率先捕获到最新勒索病毒“Prodecryptor”,此病毒与FilesLocker、Satyr、BlackRouter相似,都是使用.net开发,并且加密代码也十分相似,用户一旦中毒文件将无法打开,同时病毒程序会弹出勒索窗口,要求受害者通过电子邮箱联系攻击者,支付一定数量的比特币解密文件。

近日,瑞星安全专家率先捕获到最新勒索病毒“Prodecryptor”,此病毒与FilesLocker、Satyr、BlackRouter相似,都是使用.net开发,并且加密代码也十分相似,用户一旦中毒文件将无法打开,同时病毒程序会弹出勒索窗口,要求受害者通过电子邮箱联系攻击者,支付一定数量的比特币解密文件。

Prodecryptor勒索病毒使用非对称算法加密,在没有攻击者私钥的情况下无法解密文件。该勒索病毒会加密上百种文件,文件统一加密为.Prodecryptor格式,同时会优先加密C盘下用户目录文件,然后遍历磁盘,并加密文件。

图:加密的文件格式

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对Prodecryptor勒索病毒进行查杀,瑞星之剑(下载地址:http://www.rising.com.cn/j/)可以有效拦截该勒索病毒。

图:瑞星ESM与瑞星之剑拦截查杀截图

病毒演示视频

防范措施

  1. 不打开陌生或可疑邮件,不下载邮件附件。
  2. 浏览网页时不下载运行可疑程序。
  3. 及时更新系、漏洞补丁。
  4. 不使用弱口令密码。
  5. 多台机器不使用相同密码。
  6. 安装杀毒软件及时更新病毒库。
  7. 安装防勒索软件,防止未知病毒变种加密文件。

技术分析

Prodecryptor勒索病毒由.Net编写,通过反编译可以清晰看到程序的执行逻辑。

图:病毒执行代码

程序生成133字节的随机字符串作为AES-32bit的摘要数据块,将作者的RSA公钥导入加密133字节随机字符串数据。

图:RSA加密

计算133字符串的16字节Hash值,将Hash值重复组合为32字节作为AES-KEY来加密文件。

图:AES加密

修改文件的扩展名为Prodecryptor。

图:修改扩展名

优先加密路径:

C:\\Users\\mz\\Desktop
C:\\Users\\mz\\Documents
C:\\Users\\mz\\Music
C:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\History
C:\\Users\\mz\\Downloads
C:\\Users\\mz\\Pictures
C:\\Users\\mz\\Videos
C:\\Users\\mz\\Music
C:\\User\\mz
C:\\Users\\mz\\Favorites
C: \\ProgramData
C:\\Users

获得有效磁盘,对磁盘依次遍历,并加密文件。

图:遍历磁盘加密

创建CMD删除卷影拷贝,"cmd.exe /c vssadmin.exe delete shadows /all /quiet"。

图:删除卷影拷贝

在所有磁盘根目录以及桌面创建勒索文本ReadME-Prodecryptor@gmail.com.txt。

图:勒索信息

最后,恶意程序弹窗出一个勒索窗口。

图:加密完成弹窗勒索

[责任编辑:瑞瑞]