毫无预警,攻击技术难度为0
经过党妹团队的一系列排查,大概率把目标锁定到了一个叫Buran的勒索病毒。
党妹团队经过调研,对Buran做出了如下解释:
只能攻击Windows系统。
它会运行自身,对硬盘里的其他文件进行加密,之后留下邮箱的TXT文档,再将自己删除。
Buran没有特定的密匙,无法解开,360、火绒等公司也对其束手无策。
它在攻击之前也没有办法进行预警,最可怕的是此次攻击技术难度几乎为0:只需要知道IP地址,通过穷举法破译密码,获取一系列的权限。
看着党妹认真复述自己被“宰”的过程,也是怪心疼的……
而对于Buran病毒入侵的详细过程,我们也做了一下整理。
Buran勒索病毒启动后根据参数不同,执行不同的动作,初始时应是无参数状态启动。主要有以下三种情况:
无参数
转移病毒到指定目录并设置自启动,以参数-start重启新目录下病毒文件,删除当前执行目录下病毒文件并退出;
如果以上行为失败,则继续执行参数-start时的行为。
参数为-start
生成用户RSA公钥和病毒自定义MachineID,将其写入注册表;
删除数据备份;
搜索可加密磁盘,记录到注册表,为每个可加密磁盘启动一个勒索病毒进程,参数-agent< IndexInReg >;
在桌面释放勒索信息文件,使用记事本打开勒索信息文件以提醒用户。
参数-agent
搜索参数下标对应注册表中的磁盘,对可加密文件进行加密;
病毒中的字符都通过RC4流对称加密算法进行加密,待解密数据前32字节为Key,其余字节为密文。
最后,还有一个勒索文件,文件会告知用户联系黑客进行解密的邮箱。
正式支付赎金前,用户可以免费解密一个文件,以确认黑客可以正确解密文件。
勒索信的最后也附带了一句“温馨提示”:
你最好不要去找解密公司,你还有可能继续被诈骗。
正如党妹评价——这封勒索信“超贱的!”