香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global
首頁 > 安全資訊 > 正文

黑客不回信,技術(shù)有回聲_xmrdata勒索軟件的失聯(lián)與解密

  • 2025-05-16 17:00:50

近期,我們監(jiān)測(cè)到了一款異?;钴S的勒索軟件,該勒索軟件以各類服務(wù)器為主要加密攻擊目標(biāo)。經(jīng)技術(shù)人員分析研判,最終確認(rèn)該勒索軟件為Kann勒索軟件家族的變種,并將其定名為xmrdata。與之前的變種版本有所不同,該變種在加密文件后并未更改文件擴(kuò)展名。同時(shí),該版本的核心加密邏輯與機(jī)制較之此前的版本也發(fā)生了些許變化——其采用RSA結(jié)合AES的加密方式,理論上構(gòu)建了一道幾乎無法破解的算法屏障。

攻擊者“失聯(lián)”,360“現(xiàn)身”

我們?cè)鴩L試通過勒索軟件中留下的聯(lián)系郵箱與攻擊者進(jìn)行溝通,然而,所有郵件均石沉大海,未獲得任何回應(yīng)。攻擊者此時(shí)徹底“失聯(lián)”……這也意味著即便有受害者愿意支付贖金,也無法獲取解密服務(wù)。也就是說,受影響的用戶數(shù)據(jù)可能面臨永久丟失的巨大風(fēng)險(xiǎn),這對(duì)受害者而言無疑是雪上加霜。

幸運(yùn)的是,經(jīng)過深度技術(shù)分析,360在該勒索軟件的加密算法中發(fā)現(xiàn)了關(guān)鍵性缺陷?;谶@一發(fā)現(xiàn),我們開發(fā)出利用GPU/CPU算力的暴力破解方案。

圖1. 技術(shù)解密xmrdata勒索加密的數(shù)據(jù)對(duì)比

迄今為止,我們已成功為多位用戶恢復(fù)了被加密的重要數(shù)據(jù)文件。其中包括一個(gè)大小超過17GB的Microsoft SQL Server數(shù)據(jù)庫文件,為受害用戶挽回了損失。

圖2. 成功解密的mssql數(shù)據(jù)庫文件?

我們也在此呼吁,該勒索軟件的受害用戶可聯(lián)系360進(jìn)行免費(fèi)解密。

xmrdata勒索軟件加密技術(shù)解析

本次活躍的xmrdata變種的加密流程,與此前版本的Kann勒索軟件總體上基本一致,主要區(qū)別為RSA加密的密鑰信息,其中增加的時(shí)間信息的格式變?yōu)椋簳r(shí)間+機(jī)器名+AES密鑰+RC4密鑰。

圖3. xmrdata變種的時(shí)間信息新格式

此外,新變種對(duì)于大于100M文件的加密方式也出現(xiàn)了變化。如果勒索軟件發(fā)現(xiàn)被加密文件大于100M,則對(duì)其進(jìn)行分塊加密。被分割的每塊均為100M,并根據(jù)分割后的塊數(shù)進(jìn)行不同的加密流程。具體策略如下圖所示:

圖4. xmrdata變種的分塊加密流程示意圖

其分塊加密部分的代碼如下圖所示:

圖5. 分塊加密代碼

在完成加密后,xmrdata會(huì)在C、D、E、F磁盤的根目錄下釋放勒索信:

圖6. 加密完成后釋放勒索信

此外,新變種xmrdata在完成加密文件的操作后,不會(huì)修改文件原本的擴(kuò)展名。同時(shí),也會(huì)在被加密的文件目錄中釋放how_to_decrypt.txt勒索信。最終,會(huì)將RSA加密過的加密文件密鑰信息存儲(chǔ)為“[被加密文件名].xmr”。

圖7. 在被加密的每個(gè)目錄中釋放勒索信并保存密鑰信息

除上述的核心加密流程差異外,新變種還在結(jié)束一些重要程序進(jìn)程方面有了一些新的策略。由于該變種的主要攻擊目標(biāo)是服務(wù)器系統(tǒng),所以會(huì)嘗試終止常見的數(shù)據(jù)庫軟件進(jìn)程,以防止數(shù)據(jù)庫文件被占用而影響加密操作。

圖8/9. 嘗試結(jié)束常見數(shù)據(jù)庫軟件進(jìn)程

結(jié)語與建議

本次勒索軟件解密案例雖然取得了突破,但需要強(qiáng)調(diào)的是:依靠技術(shù)手段解密勒索軟件的概率極低,此次解密在很大程度上包含偶然和運(yùn)氣因素。絕大多數(shù)情況下,一旦遭遇加密且攻擊者失聯(lián),數(shù)據(jù)往往很難恢復(fù)。因此,唯一可靠的應(yīng)對(duì)之道是提前防范,而非事后寄希望于技術(shù)破解。

我們建議各組織高度重視數(shù)據(jù)安全,重點(diǎn)關(guān)注以下措施:

l? 強(qiáng)化備份策略:重要數(shù)據(jù)嚴(yán)格落實(shí)“3-2-1備份原則”,即保留三份數(shù)據(jù)副本,采用兩種不同存儲(chǔ)介質(zhì),其中一份異地保存。

l? 定期安全審計(jì):定期對(duì)系統(tǒng)進(jìn)行安全評(píng)估,及時(shí)修補(bǔ)已知漏洞。

l? 員工安全培訓(xùn):持續(xù)提升員工網(wǎng)絡(luò)安全意識(shí),尤其是防范釣魚郵件等社工攻擊。

l? 部署終端保護(hù):使用可信的端點(diǎn)檢測(cè)與響應(yīng)(EDR)解決方案,提升整體防御能力。

l? 制定應(yīng)急響應(yīng)計(jì)劃:明確遭遇勒索軟件攻擊時(shí)的處置流程與責(zé)任分工,做到有備無患。

如果您的系統(tǒng)已遭遇xmrdata勒索軟件加密,請(qǐng)勿嘗試支付贖金,因?yàn)楣粽叽蟾怕薀o法提供解密服務(wù)。360團(tuán)隊(duì)免費(fèi)為受害用戶提供力所能及的技術(shù)支持,請(qǐng)通過安全渠道與我們聯(lián)系。

網(wǎng)絡(luò)安全形勢(shì)日益復(fù)雜,信息共享與協(xié)作互助才是抵御勒索軟件等網(wǎng)絡(luò)威脅的根本之道。我們將持續(xù)關(guān)注此類攻擊的動(dòng)態(tài),分享最新應(yīng)對(duì)經(jīng)驗(yàn),助力更多用戶提升自我防護(hù)能力。

360安全衛(wèi)士

熱點(diǎn)排行

用戶
反饋 返回
頂部