香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

中文版 Global
首頁 > 安全資訊 > 正文

黑客不回信,技術有回聲_xmrdata勒索軟件的失聯與解密

  • 2025-05-16 17:00:50

近期,我們監(jiān)測到了一款異?;钴S的勒索軟件,該勒索軟件以各類服務器為主要加密攻擊目標。經技術人員分析研判,最終確認該勒索軟件為Kann勒索軟件家族的變種,并將其定名為xmrdata。與之前的變種版本有所不同,該變種在加密文件后并未更改文件擴展名。同時,該版本的核心加密邏輯與機制較之此前的版本也發(fā)生了些許變化——其采用RSA結合AES的加密方式,理論上構建了一道幾乎無法破解的算法屏障。

攻擊者“失聯”,360“現身”

我們曾嘗試通過勒索軟件中留下的聯系郵箱與攻擊者進行溝通,然而,所有郵件均石沉大海,未獲得任何回應。攻擊者此時徹底“失聯”……這也意味著即便有受害者愿意支付贖金,也無法獲取解密服務。也就是說,受影響的用戶數據可能面臨永久丟失的巨大風險,這對受害者而言無疑是雪上加霜。

幸運的是,經過深度技術分析,360在該勒索軟件的加密算法中發(fā)現了關鍵性缺陷?;谶@一發(fā)現,我們開發(fā)出利用GPU/CPU算力的暴力破解方案。

圖1. 技術解密xmrdata勒索加密的數據對比

迄今為止,我們已成功為多位用戶恢復了被加密的重要數據文件。其中包括一個大小超過17GB的Microsoft SQL Server數據庫文件,為受害用戶挽回了損失。

圖2. 成功解密的mssql數據庫文件?

我們也在此呼吁,該勒索軟件的受害用戶可聯系360進行免費解密。

xmrdata勒索軟件加密技術解析

本次活躍的xmrdata變種的加密流程,與此前版本的Kann勒索軟件總體上基本一致,主要區(qū)別為RSA加密的密鑰信息,其中增加的時間信息的格式變?yōu)椋簳r間+機器名+AES密鑰+RC4密鑰。

圖3. xmrdata變種的時間信息新格式

此外,新變種對于大于100M文件的加密方式也出現了變化。如果勒索軟件發(fā)現被加密文件大于100M,則對其進行分塊加密。被分割的每塊均為100M,并根據分割后的塊數進行不同的加密流程。具體策略如下圖所示:

圖4. xmrdata變種的分塊加密流程示意圖

其分塊加密部分的代碼如下圖所示:

圖5. 分塊加密代碼

在完成加密后,xmrdata會在C、D、E、F磁盤的根目錄下釋放勒索信:

圖6. 加密完成后釋放勒索信

此外,新變種xmrdata在完成加密文件的操作后,不會修改文件原本的擴展名。同時,也會在被加密的文件目錄中釋放how_to_decrypt.txt勒索信。最終,會將RSA加密過的加密文件密鑰信息存儲為“[被加密文件名].xmr”。

圖7. 在被加密的每個目錄中釋放勒索信并保存密鑰信息

除上述的核心加密流程差異外,新變種還在結束一些重要程序進程方面有了一些新的策略。由于該變種的主要攻擊目標是服務器系統(tǒng),所以會嘗試終止常見的數據庫軟件進程,以防止數據庫文件被占用而影響加密操作。

圖8/9. 嘗試結束常見數據庫軟件進程

結語與建議

本次勒索軟件解密案例雖然取得了突破,但需要強調的是:依靠技術手段解密勒索軟件的概率極低,此次解密在很大程度上包含偶然和運氣因素。絕大多數情況下,一旦遭遇加密且攻擊者失聯,數據往往很難恢復。因此,唯一可靠的應對之道是提前防范,而非事后寄希望于技術破解。

我們建議各組織高度重視數據安全,重點關注以下措施:

l? 強化備份策略:重要數據嚴格落實“3-2-1備份原則”,即保留三份數據副本,采用兩種不同存儲介質,其中一份異地保存。

l? 定期安全審計:定期對系統(tǒng)進行安全評估,及時修補已知漏洞。

l? 員工安全培訓:持續(xù)提升員工網絡安全意識,尤其是防范釣魚郵件等社工攻擊。

l? 部署終端保護:使用可信的端點檢測與響應(EDR)解決方案,提升整體防御能力。

l? 制定應急響應計劃:明確遭遇勒索軟件攻擊時的處置流程與責任分工,做到有備無患。

如果您的系統(tǒng)已遭遇xmrdata勒索軟件加密,請勿嘗試支付贖金,因為攻擊者大概率無法提供解密服務。360團隊免費為受害用戶提供力所能及的技術支持,請通過安全渠道與我們聯系。

網絡安全形勢日益復雜,信息共享與協作互助才是抵御勒索軟件等網絡威脅的根本之道。我們將持續(xù)關注此類攻擊的動態(tài),分享最新應對經驗,助力更多用戶提升自我防護能力。

360安全衛(wèi)士

熱點排行

用戶
反饋 返回
頂部