CryptON勒索病毒最新变种 瑞星发布最新解密工具

2019-06-05   

威胁等级:★★
CryptON勒索病毒的最新变种,后缀格式为.firex3m。该病毒使用对称算法且本机留有密钥,因此可以被解密,瑞星第一时间开发了该病毒变种的解密工具。同时该病毒早期的活跃版本.nem3end后缀和 .x3m后缀都能够被解密。

背景介绍

CryptON勒索病毒, 又称为X3M、Nemesis、Cry3勒索。前几日瑞星安全专家捕获到CryptON勒索病毒的最新变种,后缀格式为.firex3m。通过分析发现其使用对称算法且本机留有密钥, 可以解密, 在第一时间开发了该病毒变种的解密工具。近日, 又顺藤摸瓜对其早期的活跃版本.nem3end后缀, .x3m后缀进行分析, 发现其都能够被解密。

目前,瑞星公司已开发出解密工具,如果用户电脑中的文件已被该病毒加密,可尝试下载解密。

解密工具下载地址:http://download.rising.com.cn/for_down/rscrypto/CryptON0606.exe

图:.x3m加密文件
图:.nem3end加密文件
图:CryptON勒索信

由于.nem3end与之前分析的.firex3m差异不大, 仅仅是采用了不同的对称算法, 密钥的保存方式都是相同的。下面主要对.x3m做一个技术分析。

威胁等级:★★

病毒演示视频

技术分析

使用凯撒轮盘动态解密字符串数据, 防止安全人员静态分析。

图:动态解密字符串

动态加载模块, 导入函数。

图:动态加载模块

删除系统还原点, 使得用户无法通过系统还原恢复文件。

图:删除系统还原

创建30个加密线程, 为快速加密文件做准备。

图:多线程加密

通过Random函数生成0xFF大小的随机数作为密钥数据, 利用凯撒轮盘将其加密写入到注册表中。‘izkLIhi0DefE4Y14p’ 存放密钥、‘izkLIhi0DefE4Y14u’ 存放用户ID。

图:注册表中的密钥与用户ID

组合密钥与计算机信息, 与.firex3mx所不同的是, 它并不会将这些信息保留在本地, 而是通过网络发送给作者服务器。

图:密钥及计算机信息展示

连接作者服务器并发送密钥信息数据包。

“http://paris-style.ru/forum/clientscript/ie7/graphic/qp50x.php”

图:发送密钥数据

通过SHA512算法对Random生成的0xFF大小随机数据, 求取64字节摘要信息。

图:64字节摘要信息

遍历磁盘路径, 在所有路径下释放勒索信文件。保存路径使用多线程分担加密任务。

图:遍历磁盘路径

加密采用AES-”512”算法, 通常AES只存在128、192、256这三种宽度的算法。但病毒作者通过修改标准的AES-256算法, 使其密钥与向量扩充到512位, 形成变异的AES-”512”算法。

图:修被改的AES密钥扩展函数

如下图可见密钥被扩展到17组子密钥只有算法达到512位才具有的特征。

图:扩展密钥展示

该版本变种加密最大数据为0x18C00长度。文件末尾追加0x44字节, 前0x4用于验证加密数据结尾, 后0x4自己用于验证密钥完整性, 其余皆保留。

图:加密文件数据展示

防范措施

  1. 不适用弱口令账号密码
  2. 提高上网安全意识,做好重要数据备份
  3. 安装杀毒软件保持防御开启
  4. 安装勒索病毒防御软件

解密工具使用说明

1.解密firex3m或是nem3end扩展格式的病毒, 必须将解密工具与密钥文件(temp000000.txt)放置在同一目录下才能够进行解密。而x3m扩展格式则不需要密钥文件。

图:含有密钥的文件展示

2.保证解密工具与病毒产生的密钥文件在同一目录下。(由于密钥文件默认在桌面产生,推荐将解密工具直接放于桌面下使用)

图:密钥文件与解密工具放在同一目录下

3.打开瑞星解密工具

图:瑞星解密工具

4.解密选项配置

(1)输出解密日志, 勾选该项可以在解密完成后列出解密日志以供参考。

(2)保留/删除解密文件,用户可以选择是否在解密完成后保留原始的加密文件。

(3)选择要解密的文件后缀, 选择符合的被加密文件的后缀。

图:选项配置图

5.开始解密

(1)选择指定目录进行解密

点击“浏览”按钮

图:浏览按钮

选择一个需要解密的文件夹,点击“确定”按钮

图:选择文件夹并确定

点击“解密”按钮即可开始解密

图:解密按钮

解密完成后悔弹出日志文本,并提示解密结束

图:解密完成

(2)全屏解密

直接点击“全盘解密”按钮,即可开始解密.(全盘解密将会检索所有磁盘, 因此时间较长)

图:全盘解密

恢复磁盘中所有加密文件并输出日志

图:保存加密文件

注意事项

1. 未完全解密前,请不要关闭解密工具或删除解密文件。

2. 每台机器的解密文本(temp000000.txt)密钥数据是不相同的,因此不能将同一份密钥文本作用于其他机器,每台机器必须使用各自的解密文本。

[责任编辑:瑞瑞]