【病毒剖析】Wormhole勒索病毒剖析

 提示:点击图片可以放大
来源:优游ub8平台    发布时间:2024-12-02 14:23:35

  近期,Solar团队收到某纺织公司的帮助恳求,该公司的计算机服务器受到了Wormhole勒索宗族的损害,一切的文件被加密而且添加了.Wormhole后缀,该勒索软件的初始侵略方法是RDP暴力破解。应客户的要求,本文暂不供给对侵略事情溯源的剖析陈述,仅供给该勒索病毒加密器的逆向剖析陈述。

  软件运用openssl开源库,运用salsa20为主体,其他加密方法辅佐对文件进行加密

  若2相同文件在同一个加密区,在同一次运行时,加密成果相同,猜想文件添加的10Byte为checksum,那么阐明勒索软件并没有对文件分发独自的文件密钥,而是一切文件共用一个主密钥

  病毒发动之后会对白名单等进行装备,封闭部分进程与服务,文件秘要完成后删去相关日志文件,一起开释bat脚本用于自删去。