才被解密没几天 Satan变身加强版再来袭
最新版的Satan 4.6版本于12月初开始传播,该版本依然使用“lucky”作为加密后缀,攻击者加密件后要求受害用户支付1个比特币的赎金。与上一版的Satan(lucky版)相比,新版的Satan 4.6虽然随机字符串生成的长度不一样,但是只使用了前32个字节作为密钥使用,新老区别只是生成字符集的不同。所以准确来说,Satan 4.6更像是Satan(lucky版)的加强版。
图 1 Satan勒索病毒已更新到4.6版本
在被国内知名网络安全企业360实现解密后,攻击者加长了密钥,由之前76位密钥,加长到了240位来对抗360的解密。针对这个加强版的Satan 4.6,360再次及时的做了解密支持,并于12月7日发布了解秘工具。但需要注意的是,这已经是Satan半个月来发起的第二波攻击了。
图 2Satan 4.6加密后缀依然是“lucky”,要求受害者支付1比特币赎金
在攻击目标上,Satan 4.6与上个版本相同,依然针对Windows服务器和Linux服务器。Satan 4.6通过多组漏洞与弱口令爆破入侵服务器,并尝试通过“永恒之蓝”漏洞在内网进行传播。
与上个版本有较大差异的是密钥长度。Satan4.6依然选用AES256算法加密文件,密钥也同样是以time()函数返回的时间作为种子随机生成的。与上个版本不同的是,Satan4.6生成的密钥长度为240字节,远远长于上个版本的76字节,并且在密钥字符的选择范围中增加了多个符号字符。
图 3 Satan 4.6在密钥字符的选择范围中增加了几个符号字符
攻防之战:Satan面对360屡战屡败
虽然密钥变长了,但由于Satan 4.6在密钥生成算法上依然存在缺陷,因此被Satan 4.6加密的文件依然是可解的。目前,360解密大师已经支持Satan 4.6的解密。不幸中招的用户可以安装360安全卫士进行查杀和解密!
图 4 360解密大师解密文件
Satan勒索病毒最早出现在2017年1月,与以往常见的勒索病毒不同,Satan勒索病毒不仅会对感染病毒的电脑下手,还会将服务器作为僵尸机,对网络中存在漏洞的其它计算机进行扫描并尝试入侵。此外,Satan勒索病毒不仅使用“永恒之蓝”漏洞攻击,同时还增加了其它的漏洞攻击方式,包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。
360和Satan之间的较量也不仅仅是近期这两次,短短两年时间,Satan先后经历了多次更新变种,每一次的更新,都让Satan变得更加复杂和难以防范。而360互联网安全中心在Satan一次次的进攻中,每次都能及时发现并成功将其破解。未来,面对还在不断进化更新的Satan勒索病毒,360仍将肩负着用户的信任和对网络安全的守护。
(责任编辑:王蔚)