根据360安全中心得知近期一款名为“Zenis”的勒索病毒疯狂传播,威力强大杀伤力惊人的新型勒索病毒。如果用户在不小心的情况下中了该病毒那后果特别严重 Zenis会在短短数秒之内对你的所有硬盘进行加密。与其他加密常见文件的勒索病毒不同、 该在病毒运行后会对设备中超过200种格式的文件进行高强度加密。连非系统盘符下的所有格式文件也都将被锁,就连exe可执行程序都不会放过加密达到勒索受害者的目的。同时,病毒还会删除系统中的备份文件,以避免中招用户恢复重要数据,可谓杀伤力惊人,不可不防啊。如果需要解密设备上面的所有文件,受害者需要支付高达0.2018个比特币(约合13000元人民币给黑客)。
Zenis采用的加密手段相对比较传统,是用RSA 1024 + RC4的方式对文件进行加密。即,病毒在每个用户的机器中会生成一对RSA 1024 Session Key,而对每一个文件会生成一个RC4的会话密钥。
对于在用户本地生成的RSA 1024的解密私钥,病毒会使用代码中已经内置好的另一个RSA公钥进行加密(该公钥所对应的私钥在病毒作者手中,未放出)。而生成的RSA 1024的加密公钥,则用于对每个文件生成的RC4 Key进行加密。
加密的文件格式内置在病毒程序中,共204种。另外值得一提的是:即便文件扩展名不在此列表中也并不意味着安全——因为病毒会对非系统盘符下的所有文件进行加密(备份文件则删除)。
加密流程如下图:
首先,病毒会生成一对1024位的RSA_Key——用于加密的公钥SPUBKEY和用于解密的私钥SPIVKEY。并且用随机生成的RC4密钥USERFLGKEY加密新生成的RSA 1024解密私钥SPIVKEY,然后再用内置的RSA 2048加密公钥RPUBKEY加密这个RC4密钥USERFLGKEY。最终将生成的字符串数据会替换掉勒索信息中的%ENCRYPTED%字段,以备解密时使用
由于Zenis勒索病毒加密格式多样,且会覆盖多次并删除备份相关的文件,一些PE格式的文件及一些常用软件的数据文件被加密或被删除后可能会出现无法正常运行的情况。故相较普通勒索病毒对系统更具破坏性,加之该病毒可能是通过入侵远程桌面弱口令攻入服务进行投毒,因此建议用户:
1、修改为较强的密码;
2、修改默认的3389端口;
3、服务器打最新的补丁;
4、启用网络身份验证NLA;
