官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 Petya新型勒索病毒的加密原理分析
12下一页
返回列表 发新帖
查看: 7530|回复: 14
收起左侧

[转载] Petya新型勒索病毒的加密原理分析

[复制链接]
abc-kevin
abc-kevin 发表于 2017-6-29 22:47
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 abc-kevin 于 2017-6-29 22:51 编辑

简介
此次席卷乌克兰等全球多个国家的勒索病毒,与之前的Petya病毒极为相似,二者都会修改受害者电脑的MBR,并且在电脑重启后,展示虚假的磁盘扫描界面,同时对磁盘MFT进行加密操作,在加密完毕后向受害者展示敲诈信息,勒索赎金。然而,有安全厂商仍然审慎地表示,此次病毒并非Petya勒索软件的变种。腾讯安全反病毒实验室对样本的加密代码部分进行了分析,着重留意了代码与原始Petya勒索病毒的异同。


一、文件加密逻辑
之前的Petya勒索病毒的加密重点在于磁盘数据,在写完恶意MBR之后,会使系统强制重启,直接进入MBR引导模式;只有在写MBR失败的情况下,病毒才会使用备用方案,利用Mischa勒索病毒加密磁盘文件。而此次爆发的勒索病毒,会使用计划任务执行重启操作,在电脑尚未重启之前,病毒还会开启一个线程执行文件加密操作:

而在文件加密的过程中,只会对文件的前1MB字节进行加密,以此提升加密的速度:

二、磁盘加密逻辑
1.磁盘加密整体流程

2.修改磁盘引导扇区勒索病毒样本在写入磁盘时,分为四个部分写入不同的扇区。首先是恶意MBR代码部分,从扇区0开始一共写入了19个扇区,这部分包含伪装磁盘扫描界面、加密MFT、显示勒索文字、接受用户输入密码并尝试解密等完整功能:

其后,病毒又写入了0x20、0x21、0x22三个扇区的内容:

从后往前看,三个扇区的功能分别如下:0x22扇区存放的是病毒一开始从磁盘中读取的原始MBR内容,与0x07进行XOR操作的结果:




0x21扇区存放的是长度为0x200字节的0x07的内容:




在加密过程中,此扇区也会使用与MFT相同的密钥进行加密,用于在用户输入密钥之后进行解密验证:

0x20扇区存放的是加密流程中用到的一些配置内容,比如加密密钥等。在之前的Petya敲诈病毒中,此扇区结构如下:

(参考:https://securelist.com/petya-the-two-in-one-trojan/74609/)而此次病毒写入内容的格式也基本一致:

所不同的只是显示的暗网地址被换成了比特币地址。3.MBR加载与勒索MBR启动后,通过int13 AH=42将1到21扇区的内容拷贝到内存0x8000处,并在随后执行。


在经过标志位(0x20扇区中的state)的比较,判断当前磁盘是否已经被加密,如果被加密则直接显示敲诈信息,否则则展示虚假的磁盘检查信息



随后,程序会调用salsa20算法对MFT进行对称加密,key是32byte大小的salsa_key,iv是8byte大小的salsa_iv。



病毒作者还对salsa算法的初始化参数做了修改,由原始算法的“expand 32-byte k”变成了如下字符串:

通过此算法,最终会把MFT逐个字节的进行对称加密。加密完成后,密钥会从磁盘中删除,防止加密数据被还原。

而ec_data被展示在敲诈界面上,作为受害者个人标识:

4.可疑的ec_data引起我们注意的即是这个ec_data。在之前的Petya敲诈病毒中,此数据是使用密钥经过ECDH、SHA、AES等多次运算后得到的一个Base58字符串,目的是使用此数据与病毒作者手中的私钥一起可以计算出加密MFT使用的密钥,即前面被置空的salsa_key部分。然而,在此次的敲诈病毒代码中,我们发现,病毒在生成随机数据之后,直接使用此数据生成了Base58字符串,并没有使用什么复杂的算法,也没有与加密密钥产生任何关联:

这就意味着,即使此次病毒作者在公布的邮箱中获取了受害者的标识,也无法将其与受害者的加密密钥对应起来。很有可能,此次病毒的始作俑者并不想帮受害者解密MBR部分。
结论
通过前面的分析可以看出,此次勒索病毒的作者使用了与之前Petya病毒类似的代码,通过MBR中代码、数据格式、加密流程等多处的高度一致性可以判定,这次的新型Petya病毒与之前的Petya病毒有着千丝万缕的联系。同时也可以注意到,与Petya病毒前几个版本不同的是,新型Petya病毒一方面使用了其它逻辑加密磁盘文件,另一方面并没有想要为受害者解密磁盘。我们猜测,此次勒索病毒的作者可能并非Petya勒索病毒的原始作者。


本文来自腾讯电脑管家

免费评分

参与人数 6吾爱币 +10 热心值 +6 收起 理由
旋木过流年 + 1 + 1 谢谢@Thanks!
GNUBD + 1 + 1 谢谢@Thanks!
Hmily + 5 + 1 鼓励转贴优秀软件安全工具和文档!
181842 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
初梦大大 + 1 + 1 我很赞同!
守护神艾丽莎 + 1 + 1 已答复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

chinalxz520
chinalxz520 发表于 2017-6-30 13:08
xxhaishixx 发表于 2017-6-30 04:35
强大,膜拜。病毒太可怕了,做病毒的就应该判处死刑。

呵呵,这话说得........ 病毒高手何尝不是安全高手?

点评

xxhaishixx
做出来害人就不对了,你说是不?做出来害人的就应该死刑。  发表于 2017-7-3 13:04
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

jun57663796
jun57663796 发表于 2017-6-29 23:02
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
修改MBR啊,听起来有点鬼影的意思。
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

浅忆万人敬仰
浅忆万人敬仰 发表于 2017-6-30 01:36
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
膜拜大佬哇咔咔
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

tfrist
tfrist 发表于 2017-6-30 02:39
打系统补丁到最新 未知文件不要轻易打开
如何快速判断一个文件是否为病毒!
回复 支持

举报

xxhaishixx
xxhaishixx 发表于 2017-6-30 04:35
强大,膜拜。病毒太可怕了,做病毒的就应该判处死刑。
回复 支持

举报

catboy
catboy 发表于 2017-6-30 10:22
我想问下,如果我的mbr记录备份过是否能通过还原来阻止数据加密?
回复 支持

举报

huanghui9969
huanghui9969 发表于 2017-6-30 11:38
修改mbr没事  数据能恢复
回复 支持

举报

超级好吃
超级好吃 发表于 2017-6-30 16:00
分析的很科学,大佬真棒
回复 支持

举报

Enter_R
Enter_R 发表于 2017-6-30 19:26
我好多天不开机了
回复 支持

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-25 06:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表