首页 > 安全 > 正文

分析阳光赎金软件

最后更新 :2022.04.15

分析最近的Sunnyday赎金软件的分析显示了与其他赎金软件的一些相似之处,例如EVER101,MEDUSA储物柜,策展人和支付45。

Segurança-informatica发表了一个分析了最近的阳光赎金软件样本。由于工作的结果,发现了其他赎金软件样本(如EVER101,MEDUSA储物柜,策展人和付款45之间的一些相似之处)。 

在其执行期间执行的主要行动是:

删除卷影副本(VSS)终止并停止目标进程和服务 通过使用SALSA20流密码来生成密钥来加密文件键也被加密RSA公钥Blob并在加密文件的末尾附加 扩展“.sunnyday”被附加( name.extension.sunnyday )到损坏文件 它还包含一个自删除功能 E分析,“Sunnyday是一个基于Salsa20流密码的简单的赎金件”。SALSA20易于识别,因为它使用了其内部密码作用的众所周知的值。

SunnyDay ransomware
ransomware样本附带RSA公钥BLOB嵌入以加密SALSA20算法使用的生成密钥,该算法将在执行期间损坏机器上的所有可用文件。因为它在现代X86处理器和合理的硬件性能上提供了在软件上每一个字节的4-14个周期的速度。
ransomware使用

单个Salsa20键来加密特定机器上的所有文件。

通过
cryptogenrandom()SunnyDay ransomware 2呼叫和接下来生成密钥,它是用勒索瓶S上存在的
RSA 2048位密钥加密阿富图
。] Sunnyday创建一个名为“

的赎金书记文件文件

关于该研究的更多细节可以在此处的原始出版物中找到。 关于作者  佩德罗·塔瓦尔斯: Pedro Tavares是作为道德黑客,恶意软件分析师以及安全福音学家工作的信息安全领域的专业人士。他也是Csirt.ubi和Penti的创始成员和Pentester,安全计算机博客Seguranca-informatica.pt.pt。获奖者在弱者最好的个人中投票给我投票(非商业)安全博客和Tech Whiz最好的技术博客和您选择的其他人。

提名,请访问:

https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-IOM-NPQMOSFZNJXRBQRYJGCOW / ViewForm

 
SunnyDay ransomware 3

- END -

看更多