Tesorion为Lorenz 勒索软件开发了免费解密器

华盟原创文章投稿奖励计划

研究人员分析了最近发现新的 Lorenz 勒索软件,并为其开发了一个免费的解密器。

Lorenz 勒索软件团伙自 4 月以来一直活跃,袭击了全球多个组织,要求向受害者支付数十万美元的赎金。

与其他勒索软件团伙一样,Lorenz 运营商也实施双重勒索,即在加密数据之前窃取数据,并在受害者不支付赎金时威胁他们。赎金要求相当高,在 500.000 美元到 700.000 美元之间。

网络安全公司 Tesorion 的研究人员分析了勒索软件并开发了一种解密器,在某些情况下可以让受害者免费解密他们的文件。该安全公司计划 很快通过NoMoreRansom计划发布解密器 。

Lorenz 勒索软件在 CBC 模式下使用 RSA 和 AES-128 的组合来加密文件,它为每个文件使用随机生成的密码,然后使用CryptDeriveKey 函数导出加密密钥 。

该勒索软件很可能是使用 Microsoft Visual Studio 2015 用 C++ 编写的,专家分析的样本都编译有调试信息,使分析更容易。

Lorenz 在启动时创建了一个名为“wolf”的互斥锁,以确保它在受感染的系统上一次只执行一次。Lorenz 在加密文件之前将受感染系统的名称发送到 C2。

“被勒索软件加密的文件通常包含页脚,因为页脚可以很容易地附加到文件中。洛伦兹在加密文件之前放置了一个标头。这会降低勒索软件的效率,因为它必须复制每个文件的内容。标头包含魔法值:“.sz40”,后跟 RSA 加密的文件加密密钥。写入加密文件头后,每个文件都被加密成相当小的 48 字节块。加密文件获得文件扩展名:'.Lorenz.sz40'。” 阅读Tesorion 发表的分析。

专家在加密过程中发现了一个错误,特别是在 CryptEncrypt 函数的使用中。

“这个错误的结果是,对于每个大小为 48 字节倍数的文件,最后 48 字节都会丢失。即使您设法从恶意软件作者那里获得解密器,也无法恢复这些字节。” 陈述分析。

专家确定,在某些情况下,他们可以解密(未损坏)受影响的文件,而无需支付赎金。

该分析还包括针对此特定威胁的入侵指标 (IoC)。

外媒报道地址:https://securityaffairs.co/wordpress/119492/cyber-crime/lorenz-ransomware-free-decryptor.html

华盟知识星球入口

本原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/77169kx/281515.html