2005年5月,Websense Security实验市发现了一个被命名为PGPcoder的特洛伊木马程序。这个木马程序企图加密用户的文件,然后向受害者勒索解密费用。虽然这个手法看起来很新鲜,事实上早在15年以前,也就是1989年就有一个类似的事件。包括勒索类软件在内,LURHQ的Threat Intelligence Group到目前为止已经发现了第3起类似事件,并把该软件命名为Cryzip。
和使用普通加密手法的PGPcoder不同(LURHQ曾将PGPcoder通过逆向工程分析),Cryzip使用的则是商业压缩库,目的是将文件存储在一个密码保护模式下的zip压缩包中。
虽然zip加密比较强大,但是暴力破解仍然是可能的,尤其对压缩包内含有一份原文件副本的zip。
文件细节
文件名:vcmauth.dll 文件大小:1,191,936 字节 MD5校检:86a48836bced8c4a0b59fca972800890 SHA1校检:0b3a49b3172fc65db607fcb1b8029820ec11c5b6[2] 壳:无 编译器:Visual C 6.0 编译日期:Thu Mar 2 18:11:02 2006 CME号:无 验证字符串: zippo.dll ZippoCrypt _zippo_crypter_v1.0_
分析
运行后,Cryzip会搜寻C盘(system或system32目录下的文件除外),以便寻找它要压缩的文件。用内容“Erased by Zippo! GO OUT!!!”覆盖这些文件,然后将它们删除,仅仅在原目录下留下一个名为“原文件名_CRYPT_.ZIP”的压缩包,“原文件名”就是被它压缩后删除的文件名,连同扩展名一起。
Cryzip会寻找并加密如下扩展名的文件:
.arh .asm .arj .bas .cdr .cgi .chm .cpp .db1 .db2 .dbf .dbt .dbx .doc .dpr .dsw .frm .frt .frx .gtd .gzip .jpg .key .kwm .lst .man .mdb .mmf .old .p12 .pas .pak .pdf .pgp .pwl .pwm .rar .rtf .safe .tar .txt .xls .xml .zip
当完成一个目录的搜寻和破坏之后,Cryzip会在该目录下留下一个名为AUTO_ZIP_REPORT的TXT文件,其中包含如下的内容:
OUR E-GOLD ACCOUNT: XXXXXXX INSTRUCTIONS HOW TO GET YUOR FILES BACK READ CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN. This is automated report generated by auto archiving software. Your computer catched our software while browsing illigal porn pages, all your documents, text files, databases was archived with long enought password. You can not guess the password for your archived files - password lenght is more then 10 symbols that makes all password recovery programs fail to bruteforce it (guess password by trying all possible combinations). Do not try to search for a program what encrypted your information - it is simply do not exists in your hard disk anymore. If you really care about documents and information in encrypted files you can pay using electonic currency $300. Reporting to police about a case will not help you, they do not know password. Reporting somewhere about our e-gold account will not help you to restore files. This is your only way to get yours files back.
上文大意是:
我们的E-Gold银行帐号是:XXXXXXXXXXXX
关于如何取回您被加密的文件
认真阅读。假如你没看明白就再看一遍。
这些自动生成的文件是由自动存档软件完成的。
你在看非法色情站点的时候计算机感染了我写的病毒,你硬盘上所有的文档、文本文件还有数据库资源等都让我用足够安全的密码给你保存上了。
你甭想猜出来这些加密文件的密码,密码长度在10字符以上,足够让世面上所有的密码暴力破解(就是硬猜)软件都对它没辙。
另外,你也不用搜索什么相关的加密程序了,它只在你的计算机上存在,为你非凡定做的。
假如想要这些被俺加密了的文档呀信息呀啥的,那就支付300美金。
报警是没有用滴,他们根本不知道密码。把我的E-Gold银行帐号公布了也不能帮你找回文件。付钱是找回你宝贝资料的唯一的方法。
(部分不重要的文字就不翻译了)
在AUTO_ZIP_REPORT.TXT文件的最顶端,E-Gold帐号的数字是随机插入的。这个数字是从其内嵌的DLL文件中随即挑选的。通过同时开很多帐号,木马的制作者才能保证其中某一E-Gold帐号被关闭,他仍然能够从其他的帐号中拿到钱,所有的帐号如下:
2934363 2917501 2917505 2917510 2934369 2934376 2934380 2934382 2934383 2934389 2934392 2934394 2934396 2934404 2934409 2934419 2934421 2934425 2934427 2897227 2934430 2897191 2897193 2934435 2897209 2897212 2934441 2897232 2934446 2934448 2897243 2897258 2934452 2897021 2917497 2934354 2934356 2917500 2897263 2934455 2934459 2934466 2934469 2934477 2934491 2934501 2934506 2934510 2934515 2934474 2934782 2934788 2934799 2934806 2934814 2934816 2934820 2934825 2934829 2934832 2934837 2934841 2934849 2934853 2934860 2934862 2934866 2934872 2934869 2934885 2934880 2934891 2934895 2934898 2934903 2934925 2934929 2934938 2934948 2934953 2934956 2934964 2934480 2934487 2934775 2934802 2934811 2934864 2935277 2935274 2935268 2935264 2935260 2935252 2935244 2935235 2935232 2935229 2935223
0最新评论共有 0 位网友发表了评论查看所有评论发表评论热点关注