勒索病毒加密过程分析1——简易加密型(坏兔子病毒)

视频：https://www.bilibili.com/video/av44160165

 

目录

1.勒索病毒加密过程总结

2.加密算法的简介

3.坏兔子病毒的加密过程分析

4.参考和附件

 

内容

1.勒索病毒加密过程总结

对于病毒加密过程的总结，详细总结：http://blog.topsec.com.cn/archives/3598

 

2.加密算法的简介

• 对称加密算法：使用密钥对某一数据加密后，使用相同的密钥进行解密。勒索病毒中一般使用对称加密算法对重要文件或数据进行加密，如果获得密钥就可以对加密文件进行解密。为什么使用对称加密而不是非对称加密？主要是使用对称加密的速度快，可以短时间内把电脑里的文件加密起来从而进行勒索。常见的对称加密算法有：AES、3DES、RC5等

 

• 非对称加密算法：存在两个密钥，公钥用于对数据进行加密，私钥用于对数据进行解密。勒索病毒一般硬编码了公钥，用于加密前面对称加密中用到的密钥，而私钥留在病毒编写者手里，只有拥有私钥才可以完成全部的解密，这里详细看下面病毒的分析。常见的非对称加密算法：RSA、ECDH等

 

• 散列算法和其他算法：勒索病毒在生成或处理字符串时用到（AES密钥，RSA公钥等）。常见的算法：MD5、SHA、Base64等

 

3.坏兔子病毒加密过程分析

坏兔子病毒的加密流程，简单的看就是随机生成一个密钥用来对文件进行AES对称加密，然后再对这个AES密钥利用非对称加密算法进行加密。最后会保存起来加密后的AES密钥并显示在勒索信息里，如果想要解密文件，就得提交加密后的AES密钥和赎金。

• 生成AES密钥

 

• 利用AES密钥对文件进行加密

 

• 对AES密钥进行加密

 

4.参考和附件

参考

天融信关于勒索软件加密过程研究：http://blog.topsec.com.cn/2018/10/%E5%A4%A9%E8%9E%8D%E4%BF%A1%E5%85%B3%E4%BA%8E%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6%E5%8A%A0%E5%AF%86%E8%BF%87%E7%A8%8B%E7%A0%94%E7%A9%B6/

附件

链接：https://pan.baidu.com/s/1x1oWbMH-eVEOZ8fBUIUV1Q，解压密码：GeekFZ