如何理解Hospit勒索解密

這篇文章主要介紹“如何理解Hospit勒索解密”，在日常操作中，相信很多人在如何理解Hospit勒索解密問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”如何理解Hospit勒索解密”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都做網(wǎng)站、網(wǎng)站制作、滿洲網(wǎng)絡(luò)推廣、微信小程序、滿洲網(wǎng)絡(luò)營(yíng)銷、滿洲企業(yè)策劃、滿洲品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供滿洲建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：muchs.cn

背景概述

Hospit勒索病毒最早于2020年12月被發(fā)現(xiàn)，其主要通過(guò)RDP暴破等方式傳播，具有很強(qiáng)的行業(yè)針對(duì)性。早期變種加密后綴為”.guanhospit”，攻擊目標(biāo)均為醫(yī)療單位。而此次發(fā)現(xiàn)的變種加密后綴為”.builder”，攻擊目標(biāo)均為制造業(yè)。由此可以看出，Hospit勒索病毒背后的團(tuán)伙似乎不同于其他勒索團(tuán)伙的隨機(jī)選擇，該團(tuán)伙每一次行動(dòng)都具有很強(qiáng)的目標(biāo)性，未來(lái)可能將有更多的行業(yè)成為其攻擊目標(biāo)。

深信服終端安全團(tuán)隊(duì)通過(guò)對(duì)捕獲的樣本進(jìn)行分析，其對(duì)于10M以下的文件加密存在漏洞，加密秘鑰存在被暴破的可能，第一時(shí)間開(kāi)發(fā)了對(duì)該勒索病毒的解密工具，可以對(duì)被hospit勒索病毒加密的低于10M的文件進(jìn)行解密，挽回部分損失數(shù)據(jù)。

勒索解密

使用說(shuō)明：

1. 需要提供一個(gè)被加密前的原文件，以及其被加密后的文件，用于暴破密鑰，盡量選擇比較小且加密時(shí)間較早的文件；

2. 輸入Key Identifier，可從勒索信息中進(jìn)行復(fù)制；

3. 根據(jù)勒索發(fā)生后是否重啟過(guò)主機(jī)等情況，進(jìn)行對(duì)應(yīng)的選擇；

4. 如果密鑰暴破成功，輸入需要解密的目錄進(jìn)行解密。

樣本分析

1.創(chuàng)建互斥量，防止重復(fù)運(yùn)行：

2.創(chuàng)建線程，當(dāng)檢測(cè)到如下進(jìn)程時(shí)退出并自刪除，用于反調(diào)試：

3.結(jié)束并卸載Raccine：

4.開(kāi)啟DNScache等服務(wù)，并結(jié)束安全軟件等服務(wù)，保障勒索順利進(jìn)行：

5.刪除磁盤(pán)卷影：

6.對(duì)于磁盤(pán)根目錄下的虛擬磁盤(pán)、備份等文件，直接刪除：

7.設(shè)置C、D、Z盤(pán)為完全訪問(wèn)權(quán)限：

8.清空回收站，配置防火墻規(guī)則放通對(duì)共享文件的訪問(wèn)：

9.使用Random生成隨機(jī)秘鑰，記為key_1，由于Random生成的為偽隨機(jī)數(shù)，種子為系統(tǒng)運(yùn)行時(shí)間，因此如果能夠計(jì)算出勒索時(shí)系統(tǒng)運(yùn)行時(shí)間，則可能暴破出秘鑰：

10.在病毒所在目錄生成如下txt文件，內(nèi)容為終端IP、勒索時(shí)間以及RSA加密并base64編碼的key_1：

11.將txt勒索信息寫(xiě)入temp目錄：

在啟動(dòng)目錄創(chuàng)建快捷方式，用于打開(kāi)txt勒索信息，并配置快捷鍵“Ctrl+Shift+X”：

12.加密如下后綴名的文件：

"dat","txt","jpeg","gif","jpg","png","php","cs","cpp","rar","zip","html","htm","xlsx","xls","avi","mp4","ppt","doc","docx","sxi","sxw","odt","hwp","tar","bz2","mkv","eml","msg","ost","pst","edb","sql","accdb","mdb","dbf","odb","myd","php","java","cpp","pas","asm","key","pfx","pem","p12","csr","gpg","aes","vsd","odg","raw","nef","svg","psd","vmx","vmdk","vdi","lay6","sqlite3","sqlitedb","java","class","mpeg","djvu","tiff","backup","pdf","cert","docm","xlsm","dwg","bak","qbw","nd","tlg","lgb","pptx","mov","xdw","ods","wav","mp3","aiff","flac","m4a","csv","sql","ora","mdf","ldf","ndf","dtsx","rdl","dim","mrimg","qbb","rtf","7z"

13.加密后綴為“.builder”:

14.獲取已準(zhǔn)備好且非CD的磁盤(pán)：

15.豁免如下目錄：

"program files",":\windows","perflogs","internet explorer", ":\programdata", "appdata",  "msocache","system volume information","boot","tor browser","mozilla","appdata",  "google chrome", "application data"

16.如果文件大小大于10M，則對(duì)每個(gè)文件使用RNGCryptoServiceProvider生成的真隨機(jī)數(shù)作為加密秘鑰，記為key_n，并使用RSA加密key_n：

17.如果文件大小小于10M，則都使用key_1作為秘鑰，因此如果暴破出key_1，則可以用于解密10M以下文件：

18.使用Salsa20算法加密文件：

19.將RSA加密并base64編碼的秘鑰以及標(biāo)志符“GotAllDone”寫(xiě)入加密后的文件末尾：

20.加密完成后在桌面生成勒索信息文件：

21.勒索信息內(nèi)容如下：

22.勒索結(jié)束病毒文件自刪除：

基礎(chǔ)加固

深信服安全團(tuán)隊(duì)再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密，注意日常防范措施：

1、及時(shí)給系統(tǒng)和應(yīng)用打補(bǔ)丁，修復(fù)常見(jiàn)高危漏洞；

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

3、不要點(diǎn)擊來(lái)源不明的郵件附件，不從不明網(wǎng)站下載軟件；

4、盡量關(guān)閉不必要的文件共享權(quán)限；

5、更改主機(jī)賬戶和數(shù)據(jù)庫(kù)密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃；

6、如果業(yè)務(wù)上無(wú)需使用RDP的，建議關(guān)閉RDP功能，并盡量不要對(duì)外網(wǎng)映射RDP端口和數(shù)據(jù)庫(kù)端口。

到此，關(guān)于“如何理解Hospit勒索解密”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！

文章題目：如何理解Hospit勒索解密
標(biāo)題來(lái)源：http://muchs.cn/article10/jpjogo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營(yíng)銷推廣、品牌網(wǎng)站設(shè)計(jì)、營(yíng)銷型網(wǎng)站建設(shè)、定制開(kāi)發(fā)、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站營(yíng)銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)