CryptON勒索病毒最新变种 瑞星发布最新解密工具
2019-06-05
威胁等级:★★
CryptON勒索病毒的最新变种,后缀格式为.firex3m。该病毒使用对称算法且本机留有密钥,因此可以被解密,瑞星第一时间开发了该病毒变种的解密工具。同时该病毒早期的活跃版本.nem3end后缀和 .x3m后缀都能够被解密。
背景介绍
CryptON勒索病毒, 又称为X3M、Nemesis、Cry3勒索。前几日瑞星安全专家捕获到CryptON勒索病毒的最新变种,后缀格式为.firex3m。通过分析发现其使用对称算法且本机留有密钥, 可以解密, 在第一时间开发了该病毒变种的解密工具。近日, 又顺藤摸瓜对其早期的活跃版本.nem3end后缀, .x3m后缀进行分析, 发现其都能够被解密。
目前,瑞星公司已开发出解密工具,如果用户电脑中的文件已被该病毒加密,可尝试下载解密。
解密工具下载地址:http://download.rising.com.cn/for_down/rscrypto/CryptON0606.exe
由于.nem3end与之前分析的.firex3m差异不大, 仅仅是采用了不同的对称算法, 密钥的保存方式都是相同的。下面主要对.x3m做一个技术分析。
威胁等级:★★
病毒演示视频
技术分析
使用凯撒轮盘动态解密字符串数据, 防止安全人员静态分析。
动态加载模块, 导入函数。
删除系统还原点, 使得用户无法通过系统还原恢复文件。
创建30个加密线程, 为快速加密文件做准备。
通过Random函数生成0xFF大小的随机数作为密钥数据, 利用凯撒轮盘将其加密写入到注册表中。‘izkLIhi0DefE4Y14p’ 存放密钥、‘izkLIhi0DefE4Y14u’ 存放用户ID。
组合密钥与计算机信息, 与.firex3mx所不同的是, 它并不会将这些信息保留在本地, 而是通过网络发送给作者服务器。
连接作者服务器并发送密钥信息数据包。
“http://paris-style.ru/forum/clientscript/ie7/graphic/qp50x.php”
通过SHA512算法对Random生成的0xFF大小随机数据, 求取64字节摘要信息。
遍历磁盘路径, 在所有路径下释放勒索信文件。保存路径使用多线程分担加密任务。
加密采用AES-”512”算法, 通常AES只存在128、192、256这三种宽度的算法。但病毒作者通过修改标准的AES-256算法, 使其密钥与向量扩充到512位, 形成变异的AES-”512”算法。
如下图可见密钥被扩展到17组子密钥只有算法达到512位才具有的特征。
该版本变种加密最大数据为0x18C00长度。文件末尾追加0x44字节, 前0x4用于验证加密数据结尾, 后0x4自己用于验证密钥完整性, 其余皆保留。
防范措施
- 不适用弱口令账号密码
- 提高上网安全意识,做好重要数据备份
- 安装杀毒软件保持防御开启
- 安装勒索病毒防御软件
解密工具使用说明
1.解密firex3m或是nem3end扩展格式的病毒, 必须将解密工具与密钥文件(temp000000.txt)放置在同一目录下才能够进行解密。而x3m扩展格式则不需要密钥文件。
2.保证解密工具与病毒产生的密钥文件在同一目录下。(由于密钥文件默认在桌面产生,推荐将解密工具直接放于桌面下使用)
3.打开瑞星解密工具
4.解密选项配置
(1)输出解密日志, 勾选该项可以在解密完成后列出解密日志以供参考。
(2)保留/删除解密文件,用户可以选择是否在解密完成后保留原始的加密文件。
(3)选择要解密的文件后缀, 选择符合的被加密文件的后缀。
5.开始解密
(1)选择指定目录进行解密
点击“浏览”按钮
选择一个需要解密的文件夹,点击“确定”按钮
点击“解密”按钮即可开始解密
解密完成后悔弹出日志文本,并提示解密结束
(2)全屏解密
直接点击“全盘解密”按钮,即可开始解密.(全盘解密将会检索所有磁盘, 因此时间较长)
恢复磁盘中所有加密文件并输出日志
注意事项
1. 未完全解密前,请不要关闭解密工具或删除解密文件。
2. 每台机器的解密文本(temp000000.txt)密钥数据是不相同的,因此不能将同一份密钥文本作用于其他机器,每台机器必须使用各自的解密文本。