过去一周出现了三大主要的勒索软件:CryptoWall 4.0的发布、针对网络服务器和代码库的Linux. Encoder.1勒索软件、以及劫持文件并扔掉加密密钥的愚蠢勒索软件。
Bitdefender发布了CryptoWall Vaccine的更新版本,帮助用户阻止CryptoWall 4.0的攻击,随后,公司还找出处理Linux.Encoder.1感染的方法。
Linux.Encoder.1会利用AES对称密钥加密文件,也就是说它在加密和解密过程中使用了相同的密钥。这种特殊的加密算法占用较少的系统资源,并且允许勒索软件在不必花费太长时间、不必占用太多CPU和内存的情况下加密大的文件。
一旦文件用AES加密,那么为了避免密钥被破解,勒索软件还会加密这个密钥,但会使用RSA非对称密钥,也就是在加密和解密中使用不同的密钥。这种加密类型要求占用更多的资源并耗费更多的时间实现破解,但对于少量数据来讲运行特别快。
虽然AES加密发生在本地,但RSA密钥是在命令和控制服务器上生成的。一个私钥存储在黑客服务器上,而另外一个公钥发送给受害者加密AES密钥。
Linux.Encoder.1在加密进程中存在一个重要漏洞
Bitdefender团队指出,他们已经识别出这款勒索软件中的一个漏洞。样本并不会生成安全的随机密钥和IV,而是会从加密时带有当前系统时间戳的libc rand()函数中衍生出这两条信息。这就允许研究人员从中获得AES的加密密钥。如前所述,AES是一个对称密钥,因此所获得的密钥也可用于解密文件。