打单病毒冲着企业处事器来了 CSO们怕了么？

　　用户ID的天生算法为：打单病毒起首通过RSA-1024天生用户公私钥(user_rsa_pub和user_rsa_pri)，将天生的密钥中的rsa.P与rsa.Q拼接上“.TRUE.HOWBACKFILE”等内容后，行使内置的公钥(hacker_rsa_pub)加密，功效作为用户ID，同时，天生的公钥(user_rsa_pub)会做为后头遍历文件体系时的加密key行使。

　　可见，该用户ID也颠末尾RSA公钥(hacker_rsa_pub)的加密，在没有私钥(hacker_rsa_pri)的环境下，很难还原出RSA-1024的密钥内容。

　　5)文件加密进程

　　通过GetLogicalDrives获得盘符信息，对每个盘符开启一个线程举办加密，每个线程函数的参数包括三部门内容：当前盘符路径，加密key(user_rsa_pub)，用户ID。

　　判定文件路径是不是属于解除路径：

　　函数sub_4094D9会实现对文件的加密，对文件的加密行使的是AES加密算法。下面将具体先容该函数的进程。

　　AES加密的KEY通过CoCreateGuid天生，CoCreateGuid函数成果为生玉成局独一标识符，打单病毒行使该全局独一标识符做为secret_key,secret_key用来天生AES的加密key.。

　　AES加密时的IV参数由当前文件的巨细和文件路径配合天生。IV参数将MD(filesize||filename)后取前16位。

　　将IV和secretkey行使MBEDTLS_MD_SHA256计较8192次HASH，并将HASH功效做为AES加密的KEY

　　随后，行使内置的RSA公钥将guid举办加密，并将加密过的guid及用户ID写入到当前文件中。

　　最后，行使AES算法将文件内容加密。

　　AES加密算法进程如下：

　　6)自启动

　　打单病毒通过在RunOnce注册表下新建名为BrowserUpdateCheck的键值，到达开机自启动的目标。部门代码如下

　　7)自删除

　　通过挪用CMD/cdel来实现自删除，部门代码如下

　　8)删除长途桌面毗连信息及变乱日记

　　解密bat文件后开释到姑且目次下，并加载运行

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!