KrakenCryptor2.0.7勒索變種的示例分析

本篇文章為大家展示了KrakenCryptor2.0.7勒索變種的示例分析，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

前言

深信服安全團隊在分析安全云腦全網威脅數據時，發現了一個在國內出現的新勒索家族KrakenCryptor，發現版本為KrakenCryptor2.0.7。該版本為目前發現的最新版本，但陸陸續續有客戶通過安全云腦對該樣本進行檢測。該勒索軟件最新版本使用RSA+AES加密算法，加密后綴也隨機生成。

詳細分析

1、樣本是用.net框架編寫的，并且樣本經過混淆，如圖所示：

2、將樣本去混淆，便開始對它的研究。跟一般勒索軟件類似，該版本也會給受害者設定一個繳納贖金的時限，超過一個周以后就會漲價。

如圖所示，這是給受害者的收費計時，不過并未在圖形界面上展示，且這個一周漲價算的是自然周，而不是根據受害者被加密以后開始算。

繳費（勒索）倒計時

3、樣本會首先解密出一些關于加密的信息，比如，家族、版本、技術支持郵箱等。

家族版本號

加密的密鑰長度信息

KrakenCryptor支持加密的文件后綴，一共有422種。下圖為部分文件后綴。

支持加密的文件后綴

4、樣本會通過https://ipinfo.io網站來確認受害者IP的位置：

收集受害者IP的物理位置

5、收集受害者系統版本、mac地址、本地磁盤信息，并生成RSA和AES密鑰：

生成加密密鑰

6、獲取受害者的默認輸入法，對特定默認輸入法進行免疫（不加密）。

獲取默認輸入法

免疫輸入法

獲取系統語言，對特定語言進行免疫。目前免疫的國家有：

亞美尼亞（AM），阿塞拜疆（AZ），白俄羅斯（BY），愛沙尼亞（EE），格魯吉亞（GE），伊朗（IR），吉爾吉斯坦（KG），立陶宛（ LT），摩爾多瓦（MD），俄羅斯（RU），塔吉克斯坦（TJ），烏克蘭（UA） ， 烏茲別克斯坦（UZ） ， 土庫曼斯坦(TM)，敘利亞(SY)，拉脫維亞(LV)，哈薩克斯坦（KZ）。

免疫國家

7、注冊表項，新增一個WordLoad的鍵，用來作為加密記錄。如果Wordload的值為1，就退出。

注冊表項

8、如果不是在免疫國家列表當中，那么接下來就要走入加密流程了。樣本會向https://2no.co/2SVJa5這個URL發送自己的IP物理地址。由于這個URL是個短連接，還原以后是https://www.bleepingcomputer.com/，bleepingcomputer是一個提供安全技術和信息的網站。

9、生成256位AES密鑰，并使用CBC模式加密文件。

10、加密后的文件會直接將原文件覆蓋，然后再重命名。

加密原文件后覆蓋寫入

重命名加密后的文件

11、加密完以后樣本還會自刪除：

12、最后更換桌面背景給受害者進行提示：

解決方案

針對已經出現勒索現象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網隔離。

深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip。

上述內容就是KrakenCryptor2.0.7勒索變種的示例分析，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。