导语:最近,史上杀伤力最强的勒索软件“Zenis”出现,不仅加密文件还会删除你的备份。本文将阐述如何保护自己免受Zenis的攻击。
最近,史上杀伤力最强的勒索软件“Zenis”出现,不仅加密文件还会删除你的备份。
Zenis与其他加密常见文件的勒索病毒不同,该病毒运行后,会对设备中超过200种格式的文件进行加密,另外非系统盘符下的所有格式文件也都将被锁,就连exe可执行程序都不会放过。同时,病毒还会删除系统中的备份文件,以避免中招用户恢复重要数据,可谓所过之处,寸草不生。
尽管目前还不清楚Zenis如何传播,但多名受害者已经感染了这种勒索软件。根据MalwareHunterTeam找到一个样本,研究人员发现Zenis采用了一种自定义的加密方法来加密受害者文件,这种方法基于AES加密算法,
虽然目前还无法解密Zenis加密文件,但安全研究员Michael Gillespie已经找到了勒索软件的破解之道。因此,如果你感染了Zenis,请不要支付赎金。
Zenis如何加密计算机
如前所述,虽然研究人员不知道Zenis如何传播,但基于综合资料分析,它大概是通过被黑客入侵的远程桌面服务来传播的。
当执行加密时,Zenis将执行两次检查,看它是否应该开始对计算机进行加密。第一个检查是查看执行的文件是否被命名为iis_agent32.exe,此检查不区分大小写。另一项检查是查看是否存在称为HKEY_CURRENT_USER\SOFTWARE\ZenisService "Active"的注册表值。
如果该注册表值存在或文件未被命名为iis_agent32.exe,则它将终止该进程并且不加密该计算机。
如果通过了检查,Zenis就会开始通过填写一些信息(如电子邮件和加密数据)来创建勒索提示信息。
完成后,Zenis将执行以下命令来删除卷影副本,禁用启动修复和清除事件日志。
cmd.exe /C vssadmin.exe delete shadows /all /Quiet cmd.exe /C WMIC.exe shadowcopy delete cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures cmd.exe /C wevtutil.exe cl Application cmd.exe /C wevtutil.exe cl Security cmd.exe /C wevtutil.exe cl System"
不过这并不算完,Zenis将搜索各种进程并终止它们。这些进程包括:
sql taskmgr regedit backup
在完成以上所有准备工作之后,Zenis将开始加密计算机上的文件。它通过扫描计算机上的驱动器来查找具有特定扩展名的文件。如果它找到与下列扩展名匹配的文件,它将使用每个文件的不同AES密钥对其进行加密。
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
在加密文件时,Zenis会采取“[Zenis-]+[2个随机字符] +[.]+[12个随机字符]”的格式对文件进行重命名。例如,test.jpg在被加密后,文件名将变更为类似“Zenis-4Q.4QDV9txVRGh4”这样的命名。被加密文件的原始文件名和AES密钥将被加密并保存到文件的末尾。
在查找要加密的文件时,如果Zenis找到与备份文件相关的文件,它将覆盖它们三次,然后删除它们,这是为了让受害者恢复备份文件时更加困难。
要删除的扩展名列表如下:
.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm
在进行加密时,Zenis还会在每个覆盖的文件中创建一个名为Zenis-Instructions.html的勒索提示信息。该提示信息包含有关如何与勒索软件开发者联系以获取文件的说明。目前所发现的包含在勒索提示信息中的电子邮件地址是[email protected],[email protected],[email protected]和[email protected]。
病毒生成的勒索页面中包含一个隐藏的Base64编码的字符串,该字符串实际就是经攻击者加密过的解密私钥。当受害者缴纳赎金后,攻击者就可以提供解密私钥或为受害者创建一个解密器。
如前所述,这个勒索软件目前还是有自己的漏洞,所以请不先要支付赎金。
如何保护自己免受Zenis的攻击
1.为了保护自己免受Zenis的攻击,一定要有的计算机使用习惯,比如安装安全软件。
2.由于Zenis勒索病毒加密格式多样,且会覆盖多次并删除备份相关的文件,一些PE格式的文件及一些常用软件的数据文件被加密或被删除后可能会出现无法正常运行的情况。因此加强帐户保护也很重要,这样就可以使帐户难以被通过远程桌面的服务强制执行。具体方法有:修改为较强的密码,修改默认的3389端口,服务器打最新的补丁,启用网络身份验证NLA。
3.重要的事情说三遍:备份,备份,备份!由于Zenis可能通过黑客入侵的远程桌面服务进行安装,因此确保备份被正确保存就非常重要。比如,确保运行远程桌面服务的计算机没有直接连接到互联网。
你应始终拥有可靠且经过安全测试的数据备份,以备在紧急情况下可以恢复。