欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

手把手教你解密Planetary勒索病毒

来源:本站整理 作者:佚名 时间:2019-04-10 TAG: 我要投稿

一、 背景概述
近日,国外安全研究人员曝光了一种名为Planetary的勒索病毒家族,该勒索病毒家族最早于2018年12月被发现,使用AES-256加密算法加密文件,通常通过RDP爆破或垃圾邮件进行传播,重点攻击对象是使用英语的用户群体,但在中国和日本地区都发现了遭到攻击的用户。
该勒索软件家族在2019年进行过几次变种,加密后缀变化如下:

2019年4月,EMSISOFT发布出Planetary勒索病毒的解密工具,该工具可以针对".mira", ".yum", ".Neptune",  ".Pluto"后缀的变种进行解密。深信服安全团队对最新的Planetary样本进行了详细的技术分析,并对解密工具进行测试。
解密工具下载链接:
https://decrypter.emsisoft.com/planetary
二、 勒索特征
1.加密后文件后缀以“.mira”结尾:

2.勒索信息文件“!!!READ_IT!!!.txt”:

三、 解密工具使用
1.在被加密的主机上运行解密工具,会弹出许可条款,确认同意许可条款后点击“yes”按钮进入解密器:

2.点击“Browse”按钮选择一个释放勒索信息文件(”!!!READ_IT!!!.txt”),然后点击”start”按钮:

3.弹出风险提示,建议先尝试对少量文件进行解密,若能够成功解密再全盘使用:

4.选择需要解密的目录,”Add folder”添加目录、“Remove objects”移除目录、“Clear object list”清空目录列表:

5.确认目录后,建议第一次尝试时在”Options”窗口中选择”Keep encrypted files”选项,该选项的作用是解密时不删除被加密的文件,以防万一:

6.解密完成后会在”Results”窗口输出解密日志,完成后即可查看文件是否成功解密,经测试,该工具对”.mira”后缀的Planetary勒索病毒能够成功解密:

四、 详细分析
1.将病毒体通过注册表添加到自启动:

2.设置对象属性,其中包含加密后的后缀名“.mira”,勒索信息文件名以及不进行加密的路径:

总共包含以下几项:
· buildHash:"QAzNd93S1AE="
· extension:".mira"
· readmeFileName:"!!!READ_IT!!!.txt"
· targetURL:"https://www.example.com/write.php?info="
· priorityDirs:"Mercury4444"
· blacklistProcs:"svchost"、"^explorer\\.exe$"
· blacklistDirs:
Common Files、Internet Explorer、Windows Defender、Windows Mail、Windows Media Player、Windows Multimedia Platform、Windows NT、Windows Photo Viewer、Windows Portable Devices、WindowsPowerShell、Microsoft.NET、Windows Photo Viewer、Windows Security、Embedded Lockdown Manager、Windows Journal、MSBuild、Reference Assemblies、Windows Sidebar、Windows Defender Advanced Threat Protection、Users\\.*\\Microsoft$、Users\\.*\\Package Cache$、Users\\.*\\Microsoft Help$
· blacklistFiles:
"NTUSER\\.DAT.*"、"page.*\\.sys"、"swap.*\\.sys"、"\\.sys$"、"\\.dll$"
· importantFiles:
"\\.bak$"、"\\.4dd$"、"\\.4dl$"、"\\.accdb$"、"\\.accdc$"、"\\.accde$"、"\\.accdr$"、"\\.accdt$"、"\\.accft$"、"\\.adb$"、"\\.adb$"、"\\.ade$"、"\\.adf$"、"\\.adp$"、"\\.alf$"、"\\.ask$"、"\\.btr$"、"\\.cat$"、"\\.cdb$"、"\\.cdb$"、"\\.cdb$"、"\\.ckp$"、"\\.cma$"、"\\.cpd$"、"\\.crypt12$"、"\\.crypt8$"、"\\.crypt9$"、"\\.dacpac$"、"\\.dad$"、"\\.dadiagrams$"、"\\.daschema$"、"\\.db$"、"\\.db$"、"\\.db-shm$"、"\\.db-wal$"、"\\.db3$"、"\\.dbc$"、"\\.dbf$"、"\\.dbs$"、"\\.dbt$"、"\\.dbv$"、"\\.dbx$"、"\\.dcb$"、"\\.dct$"、"\\.dcx$"、"\\.ddl$"、"\\.dlis$"、"\\.dp1$"、"\\.dqy$"、"\\.dsk$"、"\\.dsn$"、"\\.dtsx$"、"\\.dxl$"、"\\.eco$"、"\\.ecx$"、"\\.edb$"、"\\.edb$"、"\\.epim$"、"\\.fcd$"、"\\.fdb$"、"\\.fic$"、"\\.fm5$"、"\\.fmp$"、"\\.fmp12$"、"\\.fmpsl$"、"\\.fol$"、"\\.fp3$"、"\\.fp4$"、"\\.fp5$"、"\\.fp7$"、"\\.fpt$"、"\\.frm$"、"\\.gdb$"、"\\.gdb$"、"\\.grdb$"、"\\.gwi$"、"\\.hdb$"、"\\.his$"、"\\.ib$"、"\\.idb$"、"\\.ihx$"、"\\.itdb$"、"\\.itw$"、"\\.jet$"、"\\.jtx$"、"\\.kdb$"、"\\.kexi$"、"\\.kexic$"、"\\.kexis$"、"\\.lgc$"、"\\.lwx$"、"\\.maf$"、"\\.maq$"、"\\.mar$"、"\\.marshal$"、"\\.mas$"、"\\.mav$"、"\\.mdb$"、"\\.mdf$"、"\\.mpd$"、"\\.mrg$"、"\\.mud$"、"\\.mwb$"、"\\.myd$"、"\\.ndf$"、"\\.nnt$"、"\\.nrmlib$"、"\\.ns2$"、"\\.ns3$"、"\\.ns4$"、"\\.nsf$"、"\\.nv$"、"\\.nv2$"、"\\.nwdb$"、"\\.nyf$"、"\\.odb$"、"\\.odb$"、"\\.oqy$"、"\\.ora$"、"\\.orx$"、"\\.owc$"、"\\.p96$"、"\\.p97$"、"\\.pan$"、"\\.pdb$"、"\\.pdb$"、"\\.pdm$"、"\\.pnz$"、"\\.qry$"、"\\.qvd$"、"\\.rbf$"、"\\.rctd$"、"\\.rod$"、"\\.rod$"、"\\.rodx$"、"\\.rpd$"、"\\.rsd$"、"\\.sas7bdat$"、"\\.sbf$"、"\\.scx$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdc$"、"\\.sdf$"、"\\.sis$"、"\\.spq$"、"\\.sql$"、"\\.sqlite$"、"\\.sqlite3$"、"\\.sqlitedb$"、"\\.te$"、"\\.teacher$"、"\\.tmd$"、"\\.tps$"、"\\.trc$"、"\\.trc$"、"\\.trm$"、"\\.udb$"、"\\.udl$"、"\\.usr$"、"\\.v12$"、"\\.vis$"、"\\.vpd$"、"\\.vvv$"、"\\.wdb$"、"\\.wmdb$"、"\\.wrk$"、"\\.xdb$"、"\\.xld$"、"\\.xmlff$"、"\\.bson$"、"\\.json$"、"\\.ldf$"、"\\.arm$"、"\\.cnf$"、"\\.dbs$"、"\\.ddl$"、"\\.frm$"、"\\.ibd$"、"\\.ism$"、"\\.mrg$"、"\\.myd$"、"\\.myi$"、"\\.mysql$"、"\\.opt$"、"\\.phl$"、"\\.sal$"、"\\.sqr$"、"\\.tmd$"、"\\.arz$"、"\\.ibz$"、"\\.ibc$"、"\\.qbquery$"、"\\.rul$"

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载