吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 561|回复: 10
上一主题 下一主题
收起左侧

[PC样本分析] SpongeMixer企业级勒索软件的加密逻辑及行为分析

[复制链接]
跳转到指定楼层
楼主
sxaq 发表于 2026-7-9 12:23 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 sxaq 于 2026-7-9 14:44 编辑

近期,一款企业级勒索软件SpongeMixer在国内多地呈现活跃态势。瞬犀安全实验室结合样本逆向分析、加密结构还原和行为链追踪,对其攻击特征进行了综合研判。
逆向分析结果显示,该勒索软件会针对计算机系统恢复机制第三方软件恢复策略实施破坏,显著提高受感染主机的数据恢复难度。同时,其具备攻击局域网共享文件的能力,可能进一步扩大感染范围并造成更大影响。
综合来看,该勒索软件变种工程化程度较高,具备较强的破坏性和扩散风险,建议将其列为中高危安全事件,并及时启动分级响应机制。应重点排查服务器弱口令及已知漏洞,严格控制文件共享权限,完善离线备份机制,并提前制定应急处置和防护预案。
SpongeMixer加密逻辑流程



病毒破坏链路
阻断系统恢复病毒在执行加密前和加密过程中,会调用 cmd.exe 执行一系列高权限系统命令,旨在彻底切断受害者的自救途径C:\Windows\System32\cmd.exe /c vssadmin delete shadows /all /quietC:\Windows\System32\cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0C:\Windows\System32\cmd.exe /c wbadmin DELETE BACKUP -keepVersions:0C:\Windows\System32\cmd.exe /c wmic SHADOWCOPY DELETEC:\Windows\System32\cmd.exe /c bcdedit /set {default} recoverenabled NoC:\Windows\System32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
清理卷影拷贝 (VSS): vssadmin delete shadows /all /quiet 及 wmic SHADOWCOPY DELETE,彻底删除 Windows 自带的磁盘快照。
摧毁系统级备份: wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 和 wbadmin DELETE BACKUP -keepVersions:0,删除 Windows Server 备份。
禁用高级恢复模式:
  • bcdedit /set {default} recoverenabled No:关闭 Windows 启动恢复环境。
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures:强制系统在遇到错误时忽略失败并正常启动,防止受害者通过蓝屏修复进入安全模式。
加密共享文件夹的数据病毒会进行网络扫描使用反向DNS获取主机域名来进一步扩大加密范围。
磁盘覆写病毒在执行过程中会擦除空闲磁盘空间。当正常删除一个文件(或者病毒加密完原文件并将其删除,有些文件只是进行重命名后加密)时,文件的数据并没有真正从硬盘上消失,只是文件表里的记录被抹掉了。受害者通常可以使用类似 Recuva、DiskGenius 等数据恢复软件把被删的明文文件找回来。为了防范这一点,勒索病毒会生成大量的“垃圾临时文件”,一直往硬盘里写,直到把整个硬盘剩余的空闲空间全部占满(覆盖掉旧数据的物理扇区)。
行为流程分析
病毒在启动时会进行大量的初始化,并对后续行为进行初步配置。所有的加密文件都会被设置为trial-recovery.{随机名}.-encrypted

病毒会首先选择虚拟机文件作为高价值目标

接着配置启动线程循环kill/stop 黑名单服务和进程

配置加密目标全盘扫描,A盘到Z盘无差别覆盖
磁盘覆写勒索病毒会生成大量的“垃圾临时文件”,一直往硬盘里写,直到把整个硬盘剩余的空闲空间全部占满(覆盖掉旧数据的物理扇区)


最后再删除生成的垃圾数据防止引起用户警觉

网络扫描病毒在执行磁盘覆写的过程中同时新开线程执行网络扫描,记录存活主机

使用gethostbyaddr获取真实主机名,方便后续的SMB连接

尝试加密SMB共享的文件
清除自身实体病毒在加密完成后会根据配置选项来清除自身实体

核心加密架构逆向
(本节证明为何数据无法被暴力破解,详述攻击者的加密流水线)该勒索软件展现了高级的密码学工程能力,其AES主密钥的生成生命周期如下:在病毒开始运行时会使用GetTickCount或高精度性能计数器获取初始伪随机种子,

带入内置的Delphi线性同余算法(LCG)

接着生成一个64字节的MD5State
:
病毒使用物理硬件噪音收集器,生成一个16比特的数据。

循环调用这个噪音函数,生成一个32字节的纯随机噪声数据,与最开始的MD5State进行拼接。

在循环时,病毒会调用一个称为密码学搅拌机的函数。

如果这个15秒的噪音收集过程被完整执行,那么无论拥有多么精确的时间锚点,暴力破解都是不可能的。因为其中混入的纯物理噪音,这是目前的算力极限无法逾越的高墙。
在AES主密钥生成阶段,它会使用刚刚充分与物理噪音混合的MD5State结合MD5生成32字节的AES密钥。

生成32字节的AES密钥

在密钥生成之后,病毒会使用黑客内置的RSA公钥加密这个AES密钥。

RSA公钥内容如下:

病毒使用同一个密钥但是对每个文件使用不同的IV进行AES加密,如果超过一定的时间就重新生成一把AES密钥进行加密。

病毒不会加密整个文件,而是通过文件的大小来确定加密量。如果一个文件只有几个字节,则只加密第一个字节。如果较大,就加密前几个字节,依此类推。

勒索病毒使用AES-256-OFB加密算法进行加密

最后在加密算法完成之后本次文件加密生成的IV和使用RSA公钥加密的AES-KEY密文写入到文件当中。

应急响应
鉴于此样本的加密机制,所有的防御与抢救措施必须转向底层运维与内存取证:
一、介于SMB共享文件加密行为,必须切断失陷主机与内网其他资产的文件共享。
二、如果病毒仍然在运行,必须保证病毒的存活:
1.虽然AES密钥会被加密,但是病毒在加密文件的过程中,内存必须存在AES密钥明文。即使病毒存在定时轮换密钥的机制,不过凭借这点仍然看一看使用内存中搜寻到的密钥并解密一部分被加密的数据。
2.如果发现机器正在被加密,应立即断开网线,挂起虚拟机或休眠物理机。

三、活体内存取证:
  • 使用内存获取工具分析虚拟机快照内存或对存活主机的物理内存进行完整Dump。
  • 从内存Dump中搜索并提取残留的32字节AES密钥明文,这是唯一在不交赎金情况下恢复部分数据的战术。
IoCs
网络特征:扫描存活主机
破坏性命令:vssadmin delete shadows /all /quietwbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0bcdedit /set {default} recoverenabled No
文件特征:勒索信:how_to_decrypt.txt加密文件:trial-recovery.{随机字符串}.-encrypted
SHA-256:48877a3a4c72c1daf3a80e3c034b56a04cec7ce3856887fed73e645e53c76b96安全建议
1.定期维护系统,更新补丁,降低勒索软件入侵风险。
2.严格限制内网文件共享权限,避免勒索病毒横向扩散。
3.重要业务数据应保留备份,避免被破坏。
4.企业内部的终端部署具备文件保护与历史版本恢复能力的终端安全产品,在文件被加密后,可快速恢复。

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
地球守护者 发表于 2026-7-9 16:33
任何时候,都是需要注意病毒和木马,就是@solar应急响应 的 https://www.52pojie.cn/thread-2116083-1-1.html 内容
3#
zjycheshi 发表于 2026-7-9 16:36
大佬牛逼,病毒分析太专业和详细了。看结果这是是国产病毒吗? sorry病毒不加密俄文系统,这个病毒没这个限制。
4#
MorN 发表于 2026-7-9 16:38
5#
qq95788 发表于 2026-7-9 16:46
分析专业!
6#
acesec 发表于 2026-7-9 17:13
地道适合我
7#
jc3188 发表于 2026-7-9 17:53
很好,感谢分享
8#
zengfanhui 发表于 2026-7-9 19:09
很不错,希望提供多些网盘下载渠道
9#
Nevvb1e251111 发表于 2026-7-9 19:44
厉害厉害
10#
windliberty 发表于 2026-7-9 21:00
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - 52pojie.cn ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2026-7-10 16:50

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表