手把手教你解密Planetary勒索病毒

作者:???深圳市网安计算机安全检测技术有限公司 2019/04/09 17:15:34 453次阅读 国际
文章来源:https://www.4hou.com/typ/17284.html

一、?背景概述

? ? ? ?近日,国外安全研究人员曝光了一种名为Planetary的勒索病毒家族,该勒索病毒家族最早于2018年12月被发现,使用AES-256加密算法加密文件,通常通过RDP爆破或垃圾邮件进行传播,重点攻击对象是使用英语的用户群体,但在中国和日本地区都发现了遭到攻击的用户。

? ? ? ?该勒索软件家族在2019年进行过几次变种,加密后缀变化如下:

手把手教你解密Planetary勒索病毒

? ? ? ?2019年4月,EMSISOFT发布出Planetary勒索病毒的解密工具,该工具可以针对".mira", ".yum", ".Neptune", ?".Pluto"后缀的变种进行解密。深信服安全团队对最新的Planetary样本进行了详细的技术分析,并对解密工具进行测试。

解密工具下载链接:

https://decrypter.emsisoft.com/planetary

二、?勒索特征

1.加密后文件后缀以“.mira”结尾:

手把手教你解密Planetary勒索病毒

2.勒索信息文件“!!!READ_IT!!!.txt”:

手把手教你解密Planetary勒索病毒

三、?解密工具使用

1.在被加密的主机上运行解密工具,会弹出许可条款,确认同意许可条款后点击“yes”按钮进入解密器:

手把手教你解密Planetary勒索病毒

2.点击“Browse”按钮选择一个释放勒索信息文件(”!!!READ_IT!!!.txt”),然后点击”start”按钮:

手把手教你解密Planetary勒索病毒

3.弹出风险提示,建议先尝试对少量文件进行解密,若能够成功解密再全盘使用:

手把手教你解密Planetary勒索病毒

4.选择需要解密的目录,”Add folder”添加目录、“Remove objects”移除目录、“Clear object list”清空目录列表:

手把手教你解密Planetary勒索病毒

5.确认目录后,建议第一次尝试时在”Options”窗口中选择”Keep encrypted files”选项,该选项的作用是解密时不删除被加密的文件,以防万一:

手把手教你解密Planetary勒索病毒

6.解密完成后会在”Results”窗口输出解密日志,完成后即可查看文件是否成功解密,经测试,该工具对”.mira”后缀的Planetary勒索病毒能够成功解密:

手把手教你解密Planetary勒索病毒

四、?详细分析

1.将病毒体通过注册表添加到自启动:

手把手教你解密Planetary勒索病毒

2.设置对象属性,其中包含加密后的后缀名“.mira”,勒索信息文件名以及不进行加密的路径:

手把手教你解密Planetary勒索病毒

总共包含以下几项:

·?buildHash:"QAzNd93S1AE="

·?extension:".mira"

·?readmeFileName:"!!!READ_IT!!!.txt"

·?targetURL:"https://www.example.com/write.php?info="

·?priorityDirs:"Mercury4444"

·?blacklistProcs:"svchost"、"^explorer\\.exe$"

·?blacklistDirs:

Common?Files、Internet?Explorer、Windows?Defender、Windows?Mail、Windows?Media?Player、Windows?Multimedia?Platform、Windows?NT、Windows?Photo?Viewer、Windows?Portable?Devices、WindowsPowerShell、Microsoft.NET、Windows?Photo?Viewer、Windows?Security、Embedded?Lockdown?Manager、Windows?Journal、MSBuild、Reference?Assemblies、Windows?Sidebar、Windows?Defender?Advanced?Threat?Protection、Users\\.*\\Microsoft$、Users\\.*\\Package?Cache$、Users\\.*\\Microsoft?Help$

·?blacklistFiles:

"NTUSER\\.DAT.*"、"page.*\\.sys"、"swap.*\\.sys"、"\\.sys$"、"\\.dll$"

·?importantFiles:

"\\.bak$"、"\\.4dd$"、"\\.4dl$"、"\\.accdb$"、"\\.accdc$"、"\\.accde$"、"\\.accdr$"、"\\.accdt$"、"\\.accft$"、"\\.adb$"、"\\.adb$"、"\\.ade$"、"\\.adf$"、"\\.adp$"、"\\.alf$"、"\\.ask$"、"\\.btr$"、"\\.cat$"、"\\.cdb$"、"\\.cdb$"、"\\.cdb$"、"\\.ckp$"、"\\.cma$"、"\\.cpd$"、"\\.crypt12$"、"\\.crypt8$"、"\\.crypt9$"、"\\.dacpac$"、"\\.dad$"、"\\.dadiagrams$"、"\\.daschema$"、"\\.db$"、"\\.db$"、"\\.db-shm$"、"\\.db-wal$"、"\\.db3$"、"\\.dbc$"、"\\.dbf$"、"\\.dbs$"、"\\.dbt$"、"\\.dbv$"、"\\.dbx$"、"\\.dcb$"、"\\.dct$"、"\\.dcx$"、"\\.ddl$"、"\\.dlis$"、"\\.dp1$"、"\\.dqy$"、"\\.dsk$"、"\\.dsn$"、"\\.dtsx$"、"\\.dxl$"、"\\.eco$"、"\\.ecx$"、"\\.edb$"、"\\.edb$"、"\\.epim$"、"\\.fcd$"、"\\.fdb$"、"\\.fic$"、"\\.fm5$"、"\\.fmp$"、"\\.fmp12$"、"\\.fmpsl$"、"\\.fol$"、"\\.fp3$"、"\\.fp4$"、"\\.fp5$"、"\\.fp7$"、"\\.fpt$"、"\\.frm$"、"\\.gdb$"、"\\.gdb$"、"\\.grdb$"、"\\.gwi$"、"\\.hdb$"、"\\.his$"、"\\.ib$"、"\\.idb$"、"\\.ihx$"、"\\.itdb$"、"\\.itw$"、"\\.jet$"、"\\.jtx$"、"\\.kdb$"、"\\.kexi$"、"\\.kexic$"、"\\.kexis$"、"\\.lgc$"、"\\.lwx$"、"\\.maf$"、"\\.maq$"、"\\.mar$"、"\\.marshal$"、"\\.mas$"、"\\.mav$"、"\\.mdb$"、"\\.mdf$"、"\\.mpd$"、"\\.mrg$"、"\\.mud$"、"\\.mwb$"、"\\.myd$"、"\\.ndf$"、"\\.nnt$"、"\\.nrmlib$"、"\\.ns2$"、"\\.ns3$"、"\\.ns4$"、"\\.nsf$"、"\\.nv$"、"\\.nv2$"、"\\.nwdb$"、"\\.nyf$"、"\\.odb$"、"\\.odb$"、"\\.oqy$"、"\\.ora$"、"\\.orx$"、"\\.owc$"、"\\.p96$"、"\\.p97$"、"\\.pan$"、"\\.pdb$"、"\\.pdb$"、"\\.pdm$"、"\\.pnz$"、"\\.qry$"、"\\.qvd$"、"\\.rbf$"、"\\.rctd$"、"\\.rod$"、"\\.rod$"、"\\.rodx$"、"\\.rpd$"、"\\.rsd$"、"\\.sas7bdat$"、"\\.sbf$"、"\\.scx$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdc$"、"\\.sdf$"、"\\.sis$"、"\\.spq$"、"\\.sql$"、"\\.sqlite$"、"\\.sqlite3$"、"\\.sqlitedb$"、"\\.te$"、"\\.teacher$"、"\\.tmd$"、"\\.tps$"、"\\.trc$"、"\\.trc$"、"\\.trm$"、"\\.udb$"、"\\.udl$"、"\\.usr$"、"\\.v12$"、"\\.vis$"、"\\.vpd$"、"\\.vvv$"、"\\.wdb$"、"\\.wmdb$"、"\\.wrk$"、"\\.xdb$"、"\\.xld$"、"\\.xmlff$"、"\\.bson$"、"\\.json$"、"\\.ldf$"、"\\.arm$"、"\\.cnf$"、"\\.dbs$"、"\\.ddl$"、"\\.frm$"、"\\.ibd$"、"\\.ism$"、"\\.mrg$"、"\\.myd$"、"\\.myi$"、"\\.mysql$"、"\\.opt$"、"\\.phl$"、"\\.sal$"、"\\.sqr$"、"\\.tmd$"、"\\.arz$"、"\\.ibz$"、"\\.ibc$"、"\\.qbquery$"、"\\.rul$"

·?readmeText:

"???????????????????ALL?YOUR?DATA?WAS?ENCRYPTED\r\n\r\nIf?you?want?to?recover?your?data:\r\n\r\n1.Send?your?personal?ID?to?our?emails.\r\n2.You?can?send?us?1?small?file?for?test?decryption.?\r\n3.After?payment?you?will?get?decryption?tool?and?opportunity?to?recover?all?your?data.\r\n\r\n\r\n?To?avoid?file?loss,?do?not?try?to?rename?or?modify?encrypted?files.\r\n?\r\n?Our?contacts:\r\n\r\nrecoverymydata@protonmail.com\r\nrecoverydata@india.com\r\n\r\n???????????????????Your?personal?ID:\r\n\t\t\t\t???\r\n";

3.在遍历的每个目录下释放勒索信息文件“!!!READ_IT!!!.txt”:

手把手教你解密Planetary勒索病毒

4.设置加密模式:

手把手教你解密Planetary勒索病毒

5.遍历除指定目录外的所有路径:

手把手教你解密Planetary勒索病毒

6.加密文件:

手把手教你解密Planetary勒索病毒

五、?解决方案

? ? ? ?针对已经出现勒索现象的用户,建议尽快对感染主机进行断网隔离,下载解密工具进行解密,解密工具下载链接如下:

https://decrypter.emsisoft.com/planetary

? ? ? ?深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

? ? ? ?深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

? ? ? ?最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室