后使用快捷导航没有帐号？
0 盾471 币帖子
0×00 前言最近，勒索软件世界给网民带来了不少惊喜： 4在网络上活跃，以及出现一种名为的勒索软件，目前为止发现它主要的感染区域在德国，主要手段是要求受害者支付赎金，否则就威胁说将他们的私人文件泄露出来。本文中，我们将一步一步深入分析Chimera勒索软件，共同分析它是如何一步步进行感染、勒索用户的。0×01 介绍这是我们后文中将分析的样本参数：MD5: e6922a68fcafc7722ef8SHA1: a039ae3f86f31aad45dbe7e87f118adSHA256: ffb4a81fc336b1d77c81eef96eab0a5249ebb053ce1d9f3ac257b0Size: 393.216 bytes0×02 分析主要的可执行文件似乎主要通过电子邮件传播，并用.NET框架编写。在恶意软件的第一阶段，除了解密和提取第二阶段的代码之外，并没有执行任何恶意功能。所有相关的代码都包含在Stub类中，并且其主要的方法看起来很直观：然而，使用一个base-64编码的密钥来解密Stub.pe中的内容，解密得到的内容是第二阶段的加密的有效载荷（payload），分析师可以从这里得到它。这里是它所使用的密钥：fO69CKrW5riZeZWZibAc2jzkqvbrNOMxgsBGRGG39ogzNQA0uB8sJXASVzhq5yZn2RldONsSsEgKjITpkKJX4A==通过快速浏览方法Stub.decryptBloc()可以发现，我们正在处理的是AES的一个本地实现，并且根据解码密钥来看，它应该是256位的。有趣的是，解密后的有效载荷是手动映射到内存中的：在映射完每一个片段后，直接通过一个函数指针调用了该模块：此时，第一阶段的工作就已经完成。现在，让我们跳到下一个阶段，正是在这一阶段中run_pe()函数以元数据反射方式调用了fnDllEntry()。第二阶段的代码大小为54.265字节，我们可以通过dump它来获取第二阶段。0×03 加载程序MD5: 44aa17ef83cc6fc1d50d82SHA1: e6c31e14a8cfaba6e850b1b3f39efSHA256:fbf3feb1be35dbc98db8a9cd68a83da320ba106b6ad1c77ff701fSize: 54.265 bytes通过检查调试信息我们发现了C:\Projects\Ransom\bin\Release\Loader.pdb，表明我们正在处理一个勒索软件，而且当前阶段仅仅是一个进入下一阶段的DLL加载器。这个加载程序其实很简单，它的功能仅仅是找到一个合适的进程来将Chimera核心模块注入进去。通过检查二进制我们确实可以注意到，第三阶段和最后阶段确实被打包进了有效载荷内，MZ签名、DOS存根、PE头以及.text片段、.rodata和.reloc片段头仍旧可以看到：第一步是获取当前进程的SeDebugPrivilege功能：接下来，加载器通过EnumWindows()函数枚举每个窗口，以此寻找一个32位进程来作为感染的宿主：一旦发现一个合适的进程，就将核心模块注入进去并开始执行以下内容：调用一个OpenProcess()函数打开进程，通过VirtualAllocEx()函数将一块内存分配到宿主进程中，然后通过WriteProcessMemory()函数拷贝代码。在注入解包的第三阶段的代码后，会调用一个 CreateRemoteThread()，此时勒索软件的核心活动就开始啦。这个阶段似乎使用了部分ReflectiveLoader来执行加载到最后宿主进程的操作。0×04 核心MD5: 1fc11f7a387b7fe66e1effeSHA1: fddbeb271fSHA256:3fdfa2a81efcfdabbb1d43e21f3e995deSize: 88.577 bytes再一次地，从调试信息中我们恢复了组件C:\Projects\Ransom\bin\Release\Core.pdb的原始名称。首先，Chimera试图确定它是否已经在系统中运行，它仅仅创建一个互斥对象作为它所运行计算机的VolumeSerialNumber的一个名字，如果找到了这个实例，那么该勒索软件将停止运行。如果Chimera并没有在运行，那么下一步就是将自己从磁盘中删除，然后通过一个线程调用感染主程序，或如果核心模块已经被静态地调用了，那么它将直接调用。下面的伪代码显示了感染过程的第一步：我们称之为infectionProc()的函数主要执行了三个主要动作：1、向它的服务器发送信息并告知C&C服务器我们是谁（ip地址+卷序列号）2、找到文件并对其加密3、使用IE以全屏形式显示一个威胁信息
0×05 向C&C服务器发回信息首先，通过向执行一个简单的查询，Chimera会尝试获取被感染机器的公网IP：然后，启动一个新线程来联系两个内嵌的IP地址：95.165.168.168和158.222.211.81：握手使用了以下模式：1、将Chimera的版本信息发送给C&C服务器2、勒索软件等待一个包含字符串verack的确认消息3、在收到确认信息后，进一步等待一条包含服务器组件版本信息的消息4、最后向服务器发送一个verack，以确认握手结束Chimera使用作为一种P2P通信协议。上面列出的两个IP地址分别在端口上与勒索软件通信。0×06 开始加密不论与C&C服务器的连接是否成功，加密阶段都将会开始。它会枚举并浏览每一个磁盘驱动器，如果存在的话，同样会枚举并浏览软盘。Chimera首先寻找一些特定的文件夹：\ Windows、\$Recycle.bin、\Microsoft、\Mozilla Firefox、\Opera、 \Internet Explorer、\Temp、 \Local、\LocalLow、\Chrome，以上这些目录不会被枚举和操作，以避免影响系统的功能，否则任何赎金都拿不到。然后，它会寻找不同类型的文件（图像、多媒体、文档、keyrings等）：.jpg, .jpeg, .xml, .xsl, .wps, NaNf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, NaNx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, ., mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi此时，加密过程开始，所有识别的文件都会被重命名并添加.crypt扩展名。然后，在每一个文件夹中保存一个赎金要求文件，这些文件可以用在后面的解密阶段：为了加速操作过程，所以加密过程是异步的。Chimera嵌入了不同的加密和哈希算法或者将它们引用到它的代码中，但似乎只有两种被使用了。因为我们的兴趣在于感染阶段，所以并没有深入研究加密算法。下面的细节分析可能会不准确，如果你掌握了有关这些步骤的细节信息，请随时联系我们。当加密引擎被初始化时，它会向系统请求128个随机字节：这个数据会被存储到一个缓冲区中，并被传递给一个哈希函数，看起来是SHA-256或者SHA-512，同时同样的数据在后面的加密阶段会被用作加密密钥。0×07 勒索要求在文件加密完成后，将会弹出一个威胁消息，要求受害者支付一定数额的比特币，并威胁道如果他们不支付赎金，那么他们的私人数据、文档和图片将会被公开在网络上。不过，与其他勒索软件家族不同的是，Chimera并没有为解密文件设定倒计时期限。然而，用户被引导下载一个叫做Chimera Decrypt的程序来帮助解密文件。这个解密程序首先搜索所有扩展名为.crypt的文件，然后查找赎金请求文件YOUR_FILES_ARE_ENCRYPTED.HTML中的第一个。HTML文件用于检索比特币地址，在第二步中，解密程序查询 &比特币地址&来检查是否已经收到付款。从上检索到的赎金数额会与勒索文件中声明的数额对比，如果最终收到的赎金数额大于或等于要求的数额，那么将会受到一个确认消息：一旦收到付款，解密程序要求受害者等待几个小时，因为解密密钥需要每几个小时通过BitMessage网络发送一次。我们所监测到的BitMessage地址是： BM-2cWsXQDYSueEKCtcJS8wzAka3KiYYYC9rB，卷序列号的哈希值也用于区分不同受害者的消息。密钥接收完毕后就会开始解密过程。代码驻留在一个DLL包装器中，并且仅仅将Chimera核心模块中用于加密过程的代码复制粘贴过来即可。当一个文件被一个看起来像AES算法进行解密时，.crypt扩展名就会被删除。0×08 行为分析我们在一个配备了的节点上测试了Chimera，这个人工智能引擎立即观测到了感染迹象，于是在感染阶段就将其杀死。系统保持的数据完整性保护数据防止被篡改和泄露，即使是人工智能引擎被关闭也能够做到。0×09 IOCs感染程序
MD5: e6922a68fcafc7722ef8SHA1: a039ae3f86f31aad45dbe7e87f118adSHA256: ffb4a81fc336b1d77c81eef96eab0a5249ebb053ce1d9f3ac257b0加载程序
MD5: 44aa17ef83cc6fc1d50d82SHA1: e6c31e14a8cfaba6e850b1b3f39efSHA256:fbf3feb1be35dbc98db8a9cd68a83da320ba106b6ad1c77ff701f核心
MD5: 1fc11f7a387b7fe66e1effeSHA1: fddbeb271fSHA256:3fdfa2a81efcfdabbb1d43e21f3e995deC2服务器
IP: 95.165.168.168IP: 158.222.211.810x0A 结论在勒索软件世界，虽然Chimera还不像其他古老的勒索软件（CryptoWall、CryptoLocker或CTB-Locker）那么复杂，但它却是一个新的种类。在这一点上，我们对Chimera的分析中并没有发现它真正地能够将私人文件、文档和图片发布到网络上。但是，如果这些功能被证明是有效的，那么作者完全可以将它添加在之后的阶段中。此外，添加BitMessage是一个很有趣的地方，它可以成为一种保持作者身份隐藏的有效手段。像往常一样，我们建议保持你的工具为最新状态，并保存一份处于保护状态的备份，由于简单的勒索软件就可以绕过传统的防病毒系统，所以如果检测失败的，那么下一个最佳选择将是从最新的备份中还原出所有文件。最后，不要忘记网络文件夹和附加驱动器也要加密。*原文地址：，FB小编JackFree编译，转载请注明来自FreeBuf黑客与极客（）
传奇护卫, 积分 19948, 距离下一级还需 10052 积分
315 盾929 币帖子
支持分享 继续啊
安币&&3202
390 盾3202 币帖子
有人遇到过吗？
黄金护卫, 积分 2760, 距离下一级还需 240 积分
200 盾786 币帖子
看起来好强大的感觉哟
捍卫权益，全民行动，揭露360恶意行为活动勋章
参加【那些年我们看过的电视】活动，获得的奖励
&2014 Baidu |机密文件放在电脑中，会被不法软件偷偷上传吗？在公司用winrar压缩了过的文件，是不是有被盗用的风险？_百度知道
机密文件放在电脑中，会被不法软件偷偷上传吗？在公司用winrar压缩了过的文件，是不是有被盗用的风险？
那我压缩完以后.机密文件放在电脑中1，会不会有可能被人从临时文件夹恢复呢，会被不法软件偷偷上传吗？2，好像winrar压缩的过程中是放在临时文件夹的.在公司用winrar压缩了一份
我可以提醒您，办公用的电脑用Windows2000 系统保密性很好，如果您的电脑有一些恶意软件您好，处理的当，如果你不放心，来套取机要文件。2 不会的，不再赘述。方法很简单，可以清除痕迹，可能会被利用，有两点回答 1 大多数情况下不会的，关于你的问题
其他类似问题
为您推荐：
其他2条回答
。2，有很多云盘是自动传文件的，没事的，你放自己电脑里又没设置什么. 你不使用云盘什么的就没事
一般来说，软件不会偷偷上传你的文件。只有你从网上下载的文件，才可能被迅雷等软件共享出去。关于加密，建议你安装企维通的一套加密软件，可以有效解决这些问题。特别是公司的机密，图纸什么的，外面的人看到的只是乱码，只有你的电脑才可以打开。
winrar的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁勒索软件Chimera背后藏着什么秘密？
握手使用了以下模式：
1、将Chimera的版本信息发送给C&C服务器
2、勒索软件等待一个包含字符串verack的确认消息
3、在收到确认信息后，进一步等待一条包含服务器组件版本信息的消息
4、最后向服务器发送一个verack，以确认握手结束
Chimera使用&&作为一种P2P通信协议。上面列出的两个IP地址分别在端口上与勒索软件通信。
0&06 开始加密
不论与C&C服务器的连接是否成功，加密阶段都将会开始。它会枚举并浏览每一个磁盘驱动器，如果存在的话，同样会枚举并浏览软盘。
Chimera首先寻找一些特定的文件夹：\ Windows、\$Recycle.bin、\Microsoft、\Mozilla Firefox、\Opera、 \Internet Explorer、\Temp、 \Local、\LocalLow、\Chrome，以上这些目录不会被枚举和操作，以避免影响系统的功能，否则任何赎金都拿不到。然后，它会寻找不同类型的文件（图像、多媒体、文档、keyrings等）：
.jpg, .jpeg, .xml, .xsl, .wps, NaNf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, NaNx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, ., mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi&&&&&&[5]&&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】当前位置: >
勒索软件CoinVault：拿钱来，给你一个恢复文件的机会
来自 作者：FreeBuf
之前FreeBuf曾向大家介绍过，这些木马会通过加密锁定被感染的计算机，要求受害者支付赎金后才能返还控制权，否则你硬盘里的文件将永远被木马加密了。免费恢复一个文件最近新出现了一款名为CoinVault勒索软件，这款软件同样使用256位AES加密受害者的硬盘，软件拥有类似的界面，也同样会禁止漏洞扫描。不同之处是，这款木马会向受害者给出“侮辱性的施舍”：提供免费恢复一个文件的机会，告诉受害者我确实能恢复你的文件。虽然这种“施舍”颇具挑衅意味，但从某种意义上来说，这确实是第一款让用户免费恢复文件的恶意软件。安全人员Moffit在Webroot博客上写道“这个软件的特殊之处在于，这是我见过的第一款能够让你免费解密的木马！这款木马允许你挑选一个文件进行解密。”Moffitt认为，提供免费的文件恢复功能会增加用户支付赎金的几率。他还认为软件作者很有可能会发布很难被杀毒软件检测到的零日木马版本。因此，经常进行数据备份还是对付此类软件最有效的方法。CoinVault还有十分新颖的一点，它的用户界面上会运行一个24小时倒计时。很多勒索软件会在时间期限截止时抛弃加密密钥，而CoinVault会增加赎金数量并重启倒计时。这个过程会一直持续直到用户完整地支付费用。防御方法用蛮力破解2048位的加密文件几乎是不可能的，如果你不支付赎金你会失去一切，但我们还是有几件事是可以做的：避免打开来源不明，尤其是以ZIP或RAR为文件格式的电子邮件附件。
积极更新你的防病毒软件。
更新你的操作系统。
备份。如果你有一个实时的备份软件，那么请先清理你的电脑然后恢复。
在云中创建网盘，将文件和照片备份到上面。
Windos7用户应该设置系统还原点。
重新格式化你的硬盘以确保彻底删除CryptoLocker，然后重新安装操作系统或从备份中恢复你的文件。至于如何保护你的计算机不被恶意软件勒索，更多内容可以参见FreeBuf。[参考来源，译/Sphinx，转载请注明来自]
进入： 栏目主页
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）}