黑客不回信，技術有回聲_xmrdata勒索軟件的失聯與解密

2025-05-16 17:00:50
我要分享


微信掃碼分享

近期，我(wo)們監測到了一款異常活躍的(de)勒索軟(ruan)件(jian)(jian)，該勒索軟(ruan)件(jian)(jian)以(yi)各類服(fu)務器(qi)為(wei)主(zhu)要加密(mi)攻擊目標。經(jing)技術人員(yuan)分析研判(pan)，最終確認(ren)該勒索軟(ruan)件(jian)(jian)為(wei)Kann勒索軟(ruan)件(jian)(jian)家族(zu)的(de)變種，并將其(qi)定(ding)名(ming)為(wei)xmrdata。與之前的(de)變種版(ban)本有(you)所不(bu)同，該變種在加密(mi)文(wen)件(jian)(jian)后(hou)并未更改文(wen)件(jian)(jian)擴展名(ming)。同時，該版(ban)本的(de)核(he)心加密(mi)邏(luo)輯與機制較(jiao)之此前的(de)版(ban)本也發(fa)生了些許變化(hua)——其(qi)采用RSA結合AES的(de)加密(mi)方式，理論上構建(jian)了一道幾乎無(wu)法破(po)解(jie)的(de)算法屏障。

攻擊者“失聯”，360“現身”

我(wo)們曾(ceng)嘗試通過勒索軟件(jian)中(zhong)留下的聯系郵(you)箱與(yu)攻擊(ji)者(zhe)(zhe)進行溝通，然而(er)，所有郵(you)件(jian)均石沉大海，未獲得任何(he)回應。攻擊(ji)者(zhe)(zhe)此時(shi)徹底“失聯”……這也意(yi)味著即便有受害者(zhe)(zhe)愿意(yi)支付贖金，也無(wu)法獲取(qu)解密服務。也就(jiu)是說，受影響的用戶數據(ju)可能面臨永久丟(diu)失的巨大風險(xian)，這對(dui)受害者(zhe)(zhe)而(er)言無(wu)疑是雪(xue)上加霜(shuang)。

幸運的是，經過深度技術(shu)分析，360在該勒(le)索軟件的加密(mi)算(suan)法中發(fa)現(xian)了關鍵性缺陷。基(ji)于這一發(fa)現(xian)，我們開發(fa)出利用GPU/CPU算(suan)力(li)的暴力(li)破解(jie)方案。

圖1. 技術解密xmrdata勒(le)索加密的數(shu)據對比

迄今為(wei)止，我們已成功(gong)為(wei)多位用戶(hu)恢復了被(bei)加密的重要數(shu)據文件。其中(zhong)包括(kuo)一個大小超(chao)過17GB的Microsoft SQL Server數(shu)據庫文件，為(wei)受害用戶(hu)挽(wan)回了損失。

圖(tu)2. 成功解密的mssql數(shu)據庫文(wen)件?

我們也在此呼吁，該(gai)勒索軟(ruan)件的(de)受害用戶(hu)可聯系360進行免費解密。

xmrdata勒索軟件加密(mi)技術解(jie)析

本(ben)次活躍的(de)(de)xmrdata變種的(de)(de)加密流程(cheng)，與此前版本(ben)的(de)(de)Kann勒索(suo)軟件總體上基本(ben)一致(zhi)，主要(yao)區別為(wei)RSA加密的(de)(de)密鑰信息，其(qi)中增加的(de)(de)時間信息的(de)(de)格式(shi)變為(wei)：時間+機器(qi)名+AES密鑰+RC4密鑰。

圖3. xmrdata變種的(de)時間信息新(xin)格式

此外，新(xin)變(bian)(bian)種(zhong)對(dui)于大于100M文件的加密(mi)方式(shi)也出現了變(bian)(bian)化。如果(guo)勒索軟件發現被(bei)加密(mi)文件大于100M，則對(dui)其進行分塊加密(mi)。被(bei)分割(ge)的每塊均(jun)為100M，并根據(ju)分割(ge)后的塊數進行不同的加密(mi)流程。具體策(ce)略如下圖所示(shi)：

圖(tu)4. xmrdata變種的分塊加密流程示意圖(tu)

其(qi)分(fen)塊(kuai)加密部分(fen)的代碼如(ru)下圖所示：

圖5. 分塊(kuai)加密代(dai)碼

在(zai)完成(cheng)加密后，xmrdata會在(zai)C、D、E、F磁盤的根目錄(lu)下釋放勒索信：

圖(tu)6. 加密完成后(hou)釋放勒索信

此外，新變種xmrdata在(zai)完成加(jia)(jia)(jia)密(mi)文(wen)(wen)件(jian)的操作(zuo)后，不(bu)會(hui)修改(gai)文(wen)(wen)件(jian)原本的擴(kuo)展名(ming)(ming)。同時，也會(hui)在(zai)被(bei)加(jia)(jia)(jia)密(mi)的文(wen)(wen)件(jian)目錄(lu)中釋放(fang)how_to_decrypt.txt勒索信。最終，會(hui)將RSA加(jia)(jia)(jia)密(mi)過(guo)的加(jia)(jia)(jia)密(mi)文(wen)(wen)件(jian)密(mi)鑰信息存(cun)儲(chu)為“[被(bei)加(jia)(jia)(jia)密(mi)文(wen)(wen)件(jian)名(ming)(ming)].xmr”。

圖7. 在(zai)被加密(mi)的每個目錄中(zhong)釋放勒索信(xin)并保存密(mi)鑰信(xin)息

除上(shang)述的(de)核心加密流程差(cha)異外，新(xin)變(bian)種還在結(jie)束一(yi)(yi)些(xie)重(zhong)要(yao)程序進程方面有了一(yi)(yi)些(xie)新(xin)的(de)策(ce)略。由于該(gai)變(bian)種的(de)主要(yao)攻擊目標是服務(wu)器(qi)系(xi)統(tong)，所以(yi)會嘗試終止(zhi)常見的(de)數(shu)據(ju)庫軟件進程，以(yi)防止(zhi)數(shu)據(ju)庫文件被占用而(er)影(ying)響(xiang)加密操(cao)作。

圖8/9. 嘗試結(jie)束常見(jian)數據庫軟件進程

結語與建議

本次勒索軟件解密案例雖然取得了突破，但需要強調的是：依靠技術手段解密勒索軟件的概率極低，此次解密在很大程度上包含偶然和運氣因素。絕大多數情況下，一旦遭遇加密且攻擊者失聯，數據往往很難恢復。因此，唯一可靠的應對之道是提前防范，而非事后寄希望于技術破解。

我們建議(yi)各組織(zhi)高度重(zhong)(zhong)視(shi)數(shu)據安全，重(zhong)(zhong)點(dian)關注(zhu)以下措(cuo)施：

l? 強化(hua)備份策略：重要數(shu)據嚴格落實“3-2-1備份原則”，即保留三(san)份數(shu)據副本，采用兩種不同存儲介質(zhi)，其中一份異地保存。

l? 定期安全審計(ji)：定期對系統進行安(an)全評估，及時修補已知漏洞。

l? 員工(gong)安(an)全培訓(xun)：持續提(ti)升員工網絡安全意識，尤其(qi)是(shi)防范(fan)釣魚郵件(jian)等社工攻擊。

l? 部署終(zhong)端保護：使用可(ke)信(xin)的(de)端點檢測與響應(ying)（EDR）解決(jue)方案，提(ti)升整體防(fang)御能(neng)力。

l? 制定(ding)應急響應計劃：明(ming)確遭遇勒索軟(ruan)件(jian)攻擊時的處(chu)置流程與責(ze)任分(fen)工(gong)，做到有備無患。

如(ru)果(guo)您的系(xi)(xi)統已遭遇xmrdata勒索軟件加密(mi)，請勿嘗試支付贖金，因為攻擊者大(da)概率無法提供(gong)解密(mi)服務。360團隊免費(fei)為受害用戶(hu)提供(gong)力所(suo)能及的技術支持，請通過安(an)全渠道與我們聯系(xi)(xi)。

網絡安全形勢日益復雜，信息共享與協作互助才是抵御勒索軟件等網絡威脅的根本之道。我們將持續關注此類攻擊的動態，分享最新應對經驗，助力更多用戶提升自我防護能力。

大地影视资源官网第二页,免费观看国产短视频的方法,国产+欧美+日韩,精品人妻中文无码AV在线,日韩欧美在线综合网

黑客不回信，技術有回聲_xmrdata勒索軟件的失聯與解密

熱點排行

關注我們