解密勒索软件 遭到疯狂报复 Enjey勒索软件在攻击 cloudflare防护在等待-阿里云开发者社区

开发者社区> 安全> 正文

解密勒索软件 遭到疯狂报复 Enjey勒索软件在攻击 cloudflare防护在等待

简介:

勒索软件Enjey对ID Ransomware在线服务实施了DDoS攻击, 因为 ID Ransomware索引了勒索软件作者刚发布的软件,而且居然还发现了方法,解密他的勒索软件。

ID Ransomware服务宕机了4个小时

勒索软件Enjey在Twitter上声明对此次攻击负责,随后在跟媒体的沟通中提供了一段攻击ID Ransomware的代码。随后他发动了第二次DDoS攻击,证明那确实是他。但这个时候已经引起了ID Ransomware的注意,并且到现场应对第二次攻击。在这次攻击期间,服务并没有停止。

Enjey-DDoS-script.png

上面这份代码是勒索软件Enjey开发者给媒体的,使用C#编写,代码试图持续向ID Ransomware上传两个文件。这攻击手法是在不咋地,但确实在第一次攻击期间搞出了不少垃圾流量。

据ID Ransomware的MalwareHunter说,第一次攻击每小时有20万个上传请求, 第二次攻击则小的多,半个小时内打了2万个请求。攻击很快就被迁移了。但

有个细节挺逗的

cloudflare.png

问:你们为什么不用cloudflare迁移ddos攻击?

答:我们网站上有cloudflare,(目前的流量)就是通过它……但是需要手动告诉它屏蔽

Enjey开发者疯了 因为研究人员解密了他的勒索软件

DDoS 攻击目标主要针对 ID Ransomware上传部分,那是它的主要功能。ID Ransomware是文件的一种服务,11 个月前推出,允许勒索受害者上传一封勒索信复印件和加密文件的样本,从而确定攻击他们电脑的是哪个勒索软件家族。

Enjey开发者告诉媒体,他之所以发起 DDoS 攻击,因为 ID Ransomware业务实在让他抓狂,居然敢索引他勒索他上周二才发布的勒索软件(3 月 7 日)。而让他更愤怒的是,对方居然找到方法破解自己的勒索软件。

勒索软件Enjey的工作原理并不复杂

按照多位研究员对Enjey勒索软件的分析, 相比其他勒索软件来说,Enjey只是一个简单的软件,勒索软件只有一个简单的加密过程,据Lawrence Abarms称, Enjey 使用AES-256 算法加密文件,并为每个向量生成一个标识符 (GUID) ,然后将其与解密密钥一同发送到一台远程服务器,远程服务器 C&C 地址如下:

http://black-wallet.ru/css/add_text.php?data="[victim data]"

Enjey还使用如下命令删除卷影复制,使受害者无法使用数据恢复软件恢复数据

vssadmin delete shadows /all /Quiet

加密进程会加密所有文件,只是跳过如下文件夹

  • Program Files(x86)
  • $Recycle.Bin
  • Windows
  • Boot
  • System Volum Information

在加密进程完成后,Enjey在每个加密文件后面添加如下后缀名

name: .encrypted.contact_here_me@india.com.enjey

在所有动作完成后,Enjey 勒索软件会在用户的电脑上留下一个文件README_DECRYPT.txt.

Enjey-ransom-note.png

勒索软件Enjey的开发者似乎关闭了他的C&C服务器,这意味着勒索软件 Enjey 的分发已经停止了。但他对外宣传已经开始开发Enjey 2.0.

SHA256 hash:

8f51ce5e3b3ad1ee8c98e843177711a7759c55c96a9e9becaf77f54f811c69e3




原文发布时间:2017年3月24日
本文由:bleepingcomputer发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/decrypt-ransomware-been-madness-retaliation
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章