欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

FilesLocker2.1圣诞特别版勒索病毒与早期版本解密工具

来源:本站整理 作者:佚名 时间:2019-01-07 TAG: 我要投稿

近日,深信服EDR安全团队跟踪到多个客户感染了FilesLocker勒索病毒,其中最新版本的已更新到了FilesLocker2.1,这是一个专门为了庆祝圣诞节而设计命名的版本,中招客户除了系统被加密破坏之外,还有来自勒索作者的节日问候。
FilesLocker是一款代理型勒索软件,勒索病毒制造者只负责制作勒索病毒本身,传播方式通过招中间代理的方式来实现,故传播方式多种多样。其中,最新版本的FilesLocker2.1版本最后会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。并且还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸,画面颇为欢乐喜庆。

FilesLocker 2.1版本的勒索界面(圣诞版)
根据可靠消息,该加密作者释放的RSA私钥在加密完之后会在浏览器弹出(适用于FilesLocker1.0和FilesLocker2.0中招客户,FilesLocker2.1圣诞特别版暂时没有释放密钥,也就是说圣诞版暂时无法解密,提醒广大用户小心)。

该工具已将该RSA私钥集成进入工具,然后用该私钥将用户被加密的AES密钥解密出来。


解密文件

该工具提供的所有函数

一、背景介绍
2018年10月,有人在暗网发布FilesLocker勒索病毒合作计划。事后有国内多家安全厂商跟进报道,随即此贴访问量暴涨十倍,并且作者之后在帖子上更新了报道链接。

2018年底最后一天,作者放出了1.0和2.0版本的私钥,目前国外也有安全人员根据私钥开发出了解密工具。但这并不是作者偃旗息鼓了,最新的2.1版本已经到来,且更换了新的RSA秘钥对。
二、样本分析
2.1版本
由于作者已经将之前的私钥放出,在2.1版本中,便更新了公钥,如图所示。

图 3
随机生成加密文件的AES密钥,使用RSA加密,最后再把密文用base64编码

图 4 加密AES秘钥,并用base64编码密文
样本只加密系统盘中指定文件夹和非系统盘中指定文件名后缀名的文件。

图 5  系统盘指定文件夹

图 6 加密除了系统盘之外的其他磁盘

 图 7 指定加密的文件后缀名,共367种
加密文件使用了AES算法,ECB模式

图 8 加密文件代码
加密完成后会在文件名后面添加后缀.[fileslocker@pm.me]。

图 9 添加文件名后缀
整个加密阶段完成以后,会调用vssadmin.exe删除掉系统卷影副本

图 10 删除卷影副本
2.0版本
2018年11月底,FilesLocker升级到了2.0版本,主体功能没有变化。加密的文件后缀比1.0版本增加了10个。加密以后会从指定链接下载图片并设置为桌面壁纸。

图 11
并对勒索弹窗也做了些改变。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载