最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

研究人员秘密帮助解密Zeppelin勒索软件2年

网络安全 快米云 来源:快米云 20浏览 0评论

钥匙

安全研究人员在 Zeppelin 勒索软件的加密机制中发现了漏洞,并利用这些漏洞创建了一个可用的解密器,他们从 2020 年开始使用该解密器来帮助受害公司恢复文件,而无需向攻击者支付费用。

解密工具的开发者是位于新泽西州的网络安全咨询公司 Unit221b,该公司已于 2020 年 2 月准备好一份技术报告,但推迟了发布,以使威胁行为者对其文件加密恶意软件中的漏洞一无所知。

破解齐柏林飞艇

Unit221b 在看到勒索软件运营商袭击了慈善组织、非营利组织甚至无家可归者收容所后,就有了破解 Zeppelin 的动机。

这家网络安全咨询公司在阅读了 2019 年 12 月对黑莓 Cylance 恶意软件的分析后,发现了 Zeppelin 中潜在的可利用漏洞。

研究人员注意到,Zeppelin 使用一个临时的 RSA-512 密钥来加密 AES 密钥,该密钥锁定了对加密数据的访问。

AES 密钥存储在每个加密文件的页脚中,因此如果 RSA-512 密钥被破解,则无需支付攻击者费用即可解密文件。

Zeppelin 勒索软件加密密钥逻辑
Zeppelin 勒索软件加密密钥逻辑 (Unit221b)

Unit221b 发现,在数据加密完成后,该公钥在受感染系统的注册表中保留了大约五分钟。

通过在原始文件系统、registry.exe 内存转储和直接在“/User/[user_account]/”目录中的 NTUSER.Dat 上进行注册表雕刻,可以检索密钥。

生成的数据使用 RC4 进行混淆处理,在解除该层之后,Unit221b 只剩下一层 RSA-2048 加密。

以混淆形式检索密钥
以混淆形式检索公钥 (Unit221b)

为了克服这个最后的障碍,Unit221b 在 20 台服务器上总共使用了 800 个中央处理器 (CPU),每台服务器有 40 个 CPU。这考虑了密钥的较小部分。

六个小时后,密钥被破解,分析师可以继续工作以从文件页脚检索 AES 密钥。

解密器可用性

Unit221b 的创始人 Lance James 告诉 BleepingComputer,由于最近几个月 Zeppelin 勒索软件受害者的涌入量大幅下降,他们决定公开所有细节。

詹姆斯表示,解密工具甚至应该适用于最近的 Zeppelin 版本,并且可以根据要求提供给受害者。

Emsisoft 的威胁分析师Brett Callow证实了 Zeppelin 攻击的下降,并指出上一次使用勒索软件的主要行动是 Vice Society,它在几个月前放弃了它。

卡洛还指出,自 2020 年年中以来,数据恢复专家一直在利用 Zeppelin 的加密漏洞。

至于 Emsisoft 是否有可能发布针对该菌株的公共解密器,该分析师告诉我们,恢复密钥的计算能力成本高昂,这并不是公司可以使用的免费工具的理想选择。

飞艇背景

Zeppelin(又名“Buran”)是一种起源于俄罗斯的基于 Delphi 的勒索软件变种,于 2019 年底作为一个在小圈子合作伙伴关系中运作的半私有项目出现在野外。

该勒索软件项目平均勒索受害者 50,000 美元,并采用强大的 AES-256-CBC 加密技术。

2021 年,该行动在中断一段时间后推出了经过重大改造的版本,为其长期合作伙伴提供多项福利。

最近,在 2022 年 8 月,FBI 发布了有关 Zeppelin 勒索软件的警报,警告其运营商现在正在遵循对被破坏的系统执行多重加密的策略。

这种奇怪的策略创建了多个受害者 ID 和具有多个加密层的文件,即使在支付赎金后也需要多个解密密钥和大量反复试验才能恢复数据。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 研究人员秘密帮助解密Zeppelin勒索软件2年

您必须 登录 才能发表评论!