Análise Profunda da Implementação de Criptografia e Características Comportamentais do Ransomware Sorry
Este artigo detalha a análise do ransomware Sorry, explorando sua implementação de criptografia, comportamento e medidas de proteção. A análise revela o uso de algoritmos avançados e técnicas de evasão, destacando a necessidade de vigilância e defesa proativa.
MundiX News·11 de maio de 2026·10 min de leitura·👁 15 views
Análise Profunda da Implementação de Criptografia e Características Comportamentais do Ransomware Sorry
O ransomware Sorry, detectado em março deste ano, tem explorado vulnerabilidades em softwares corporativos comuns para lançar seus ataques. Ele é capaz de carregar payloads remotamente e demonstra capacidade de ataque de ransomware multiplataforma. Recentemente, a equipe de antivírus 360 recebeu repetidos relatos e alertas de ataques relacionados ao ransomware Sorry, com picos de ataques concentrados em dois finais de semana em meados de abril. Através da análise reversa de amostras, reconstrução da estrutura de arquivos criptografados e rastreamento da cadeia de ataque, esta instância exibe um padrão de ataque claro de "implantação automática em massa por exploração de vulnerabilidades" e "criptografia direcionada de arquivos-alvo". Tecnicamente, a família utiliza um design de encapsulamento de chave em camadas, empregando uma combinação de algoritmos RSA+RSA+AES-GCM para criptografia de arquivos e proteção de chaves. Este design, além de equilibrar a velocidade de criptografia em massa, também aumenta significativamente a dificuldade para as vítimas recuperarem arquivos diretamente, sem as chaves.
Além disso, a amostra coleta ativamente informações de identificação do host durante a execução, incluindo, mas não se limitando a, o nome do host e o valor "host_hash" calculado com base nas características do ambiente do dispositivo atual. Essas informações são escritas em estruturas de dados relevantes para que o lado da operação de ataque possa rastrear e gerenciar os hosts afetados e as sessões de criptografia. Em resumo, esta variante possui uma implementação completa e de alta qualidade. Recomenda-se que os fornecedores de segurança classifiquem este incidente como um evento de ransomware de nível médio a alto risco e iniciem os procedimentos de resposta em camadas correspondentes. Ao mesmo tempo, considerando sua atividade mais intensa durante os feriados de fim de semana, é crucial preparar planos de proteção de segurança para um possível novo pico de ataques durante o feriado de 1º de maio.
Fluxo de Ataque do Ransomware Sorry
A cadeia de processo de ataque típica do ransomware Sorry é a seguinte:
[Imagem 1. Exemplo da cadeia de processo de ataque]
O fluxo lógico de criptografia do ransomware é mostrado abaixo:
[Imagem 2. Diagrama do processo de criptografia]
Nossos analistas, combinando a invasão completa e a cadeia de criptografia com nossa análise técnica e soluções, esclareceram o diagrama completo do processo de criptografia/descriptografia da família Sorry, para que todos possam entender de forma mais intuitiva a situação geral deste ataque.
[Imagem 3. Visão geral do ataque do ransomware Sorry]
Análise Técnica da Amostra de Ransomware
Inicialização do Ambiente
Tomando uma amostra típica de ransomware como exemplo, ela primeiro interrompe os serviços relacionados ao MSSQL após a execução. Entre vários serviços de banco de dados, o ransomware interrompe apenas os serviços relacionados ao MSSQL, indicando que seu alvo de ransomware é altamente direcionado aos sistemas de servidor.
[Imagem 4. Desligamento direcionado do serviço MSSQL]
Além da lista de extensões criptografadas, para evitar anomalias desnecessárias do sistema que causem falha na criptografia, o ransomware também exclui o caminho, o nome do arquivo e as extensões de alguns arquivos.
Os nomes de arquivos e extensões excluídos são os seguintes:
thumbs.db, netuser.dat, autorun.inf, iconcache.db, bootfont.bin, desktop.ini, pagefile.sys, .ds_store, .sorry, readme.md
As palavras-chave de diretório e caminho excluídas são as seguintes:
:\windows, \git\mingw64, \git\usr, \go\src, \go\pkg\mod, \java\jdk, \vmware\drivers, \program files\vmware, \inetpub\temp\apppools, programdata, efi.boot, efi.microsoft, all users, node_modules, .git, recycle.bin, system volume information, .trash, .cache, pycache, ieidcache, \appdata, .recovery, local settings, site-packages, test_importlib
[Imagem 5. Código de inicialização inicial]
Algoritmo de Criptografia de Arquivos
O ransomware usa o algoritmo AES-GCM para criptografar arquivos. Ao iniciar a operação de criptografia formal, ele primeiro gera uma chave AES separada para cada arquivo e o valor Nonce/IV necessário para o modo GCM do algoritmo.
[Imagem 6. Geração de chave AES aleatória]
Ao mesmo tempo, o ransomware também chama o algoritmo RSA para gerar um par de chaves públicas e privadas, para criptografar a chave AES-GCM usada para criptografar arquivos. E depois que o par de chaves RSA é gerado, o ransomware usa novamente a chave pública RSA embutida para criptografar a chave privada RSA gerada no local e criptografar as informações do nome de usuário e nome da máquina obtidas no local.
A chave pública RSA embutida do ransomware é a seguinte:
[Imagem 8. Chave pública RSA embutida]
A amostra também abrirá arquivos de forma exclusiva ou contornando a proteção, para evitar que os arquivos não possam ser lidos quando estiverem em uso, afetando sua operação de criptografia de arquivos.
[Imagem 9. Abrindo arquivos de forma exclusiva]
O ransomware chamará diretamente as operações do sistema com base em NTAPI. Esta operação pode efetivamente contornar a maioria das chamadas de API regulares de software (como operações de leitura/gravação de arquivos) e iniciar chamadas diretamente para o kernel do sistema. Esta abordagem é usada principalmente para evitar a monitoração de chamadas de interface no modo de usuário por vários clientes de segurança, incluindo EDR, para obter a chamada "criptografia de ponto cego".
[Imagem 10. Usando NTAPI para criptografia de ponto cego]
Estrutura de Dados
Após a conclusão de todas as operações de criptografia, a estrutura de saída final do arquivo criptografado é a seguinte:
Magic Header
1 byte, conteúdo fixo 0x11
[Imagem 11. Escrevendo o cabeçalho Magic]
Valor do Comprimento do CHUNK
4 bytes, valor de comprimento em ordem big-endian
[Imagem 12. Dados CHUNK_LENGTH]
Bloco de encapsulamento RSA
4 bytes anteriores, valor de comprimento em ordem big-endian. Seguido pelo bloco de texto cifrado.
[Imagem 13. Bloco de encapsulamento RSA]
CHUNK_CIPHER de blocos de dados separados
O anterior é o chunk_cipher_length de 4 bytes, big-endian. Seguido pelos dados de texto cifrado correspondentes ao comprimento, e chunk_length = plaintext_chunk + 16.
[Imagem 14. Dados CHUNK_CIPHER_LENGTH]
Dados de terminação
Comprimento de 4 bytes, preenchido com dados 0x00 fixos.
[Imagem 15. Dados de terminação]
O tamanho do bloco é 0x100000 bytes (1MB).
[Imagem 16. Definição do tamanho do bloco]
A fórmula de cálculo do tamanho dos dados anexados após a criptografia do arquivo é a seguinte:
Especificamente para a amostra analisada desta vez, os valores finais de L1 e L2 são:
L1=2048
L2=256
Portanto:
Em resumo, a forma de calcular o comprimento dos dados anexados após a criptografia pelo ransomware Sorry é mostrada na figura:
[Imagem 17. Método de cálculo do comprimento dos dados anexados]
De acordo com os diferentes valores de N, os valores de Δ são os seguintes:
Tamanho original
N
Valor
Cálculo: 2317 + 20×N
Tamanho dos dados anexados após a criptografia Δ
1 MB
1
2317+20
+2337
5 MB
5
2317+100
+2417
10 MB
10
2317+200
+2517
…
…
…
…
Tabela 1. Cálculo do valor Δ
Nota de Resgate
A nota de resgate é um pedaço de dados de comprimento fixo (0x184 bytes) criptografados com XOR. A amostra de resgate descriptografará seu conteúdo em um arquivo ReadMe.md após a conclusão da criptografia.
[Imagem 18. Liberando a nota de resgate ReadMe.md]
A nota de resgate das primeiras versões também continha a ID do usuário inserida manualmente, mas como a nova amostra usa a operação de escrita da ID do usuário e das informações da chave privada criptografada no arquivo criptografado, a ID não é mais necessária na nota de resgate.
[Imagem 19. Conteúdo da nota de resgate embutida]
O conteúdo final exibido do arquivo README.md da nota de resgate é o seguinte:
[Imagem 20. Conteúdo do arquivo da nota de resgate liberada]
Roubo de Informações
Além das operações de criptografia regulares acima, o ransomware também enviará informações sobre a criptografia e as informações da máquina do usuário. Ele fará uma solicitação GET ao servidor para obter um endereço IP e concatenará e passará informações-chave no User-Agent.
Os campos específicos a serem passados são os seguintes:
Firefox-type=stats
&hostname=360AntivirusTeam &host_hash=09b3e7a2acd05155eba33cfff8388374&ts=1775829511
&level=1
&ok=1999
&skipped=3
&failed=20
O host_hash é calculado da seguinte forma: use "algumas informações fixas da máquina" para formar uma sequência de dados e, em seguida, execute a operação HASH do algoritmo SHA256 e, em seguida, pegue a primeira metade (ou seja, os primeiros 16 bytes) da string HEX minúscula de 32 bits como uma impressão digital única.
Este valor pode ser entendido como a geração de um "ID de identidade única" para cada computador. Essas informações fixas incluem:
HOSTNAME: Nome da máquina
USERNAME: Nome de usuário
PROCESSOR_IDENTIFIER: Informações da CPU
NUMBER_OF_PROCESSORS: Número de núcleos da CPU
SystemDrive: Disco do sistema (como C:)
Finalmente, o ransomware passará as informações acima por meio de uma solicitação GET no campo User-Agent para o servidor do hacker.
[Imagem 21. Transmissão de informações por meio do campo User-Agent da solicitação GET]
Os campos detalhados de dados de upload e seus significados são mostrados abaixo:
Nome do campo
Exemplo
Valor
Descrição
Firefox-type
stats
Tipo de solicitação, indicando que são dados estatísticos
hostname
360AntivirusTeam
Nome do host do cliente
host_hash
09b3e7a2acd05155eba33cfff8388374
Valor hash sha256 gerado com base na identificação do host [16].hex() (usado para ID de dispositivo exclusivo)
ts
1775829511
Timestamp Unix, timestamp de geração de dados criptografados
level
1
Identificador de nível (nível de log ou dimensão)
ok
1999
Número de arquivos criptografados com sucesso
skipped
3
Número de arquivos ignorados na criptografia
failed
20
Número de arquivos que falharam na criptografia
Tabela 2. Campos de dados de upload e seus significados
Além disso, também recebemos feedback de alguns usuários Linux que foram criptografados, indicando que este ataque de ransomware não se limita à plataforma de sistema Windows regular. A situação da infecção dos dispositivos dos usuários Linux é a seguinte:
[Imagem 22. Situação dos dispositivos afetados pelo Linux]
Com base nas conclusões da análise estática e dinâmica, o ransomware Sorry pode reduzir efetivamente a probabilidade de interceptação pela monitoração de comportamento dinâmico de terminais de segurança, como EDR, chamando diretamente a interface NTDLL de baixo nível e ignorando ativamente os diretórios críticos do sistema, e possui forte capacidade de combate à detecção.
As características técnicas específicas são as seguintes:
Cadeia de criptografia completa
Adota o mecanismo de proteção de criptografia em camadas RSA+RSA+AES-GCM;
Estrutura de formato de arquivo estável
Pode reconhecer a estrutura completa de cabeçalho Magic fixo + segmento de encapsulamento RSA + texto cifrado em blocos + bloco de terminação;
Geração de chave sem falhas óbvias
A chave de sessão AES vem da interface aleatória em nível de sistema, sem defeitos utilizáveis, como sementes fixas;
Possui lógica de gerenciamento de identificação da vítima
Existe uma construção de identificação do lado do host baseada em HOSTNAME, HOST_HASH, que está relacionada ao sistema de gerenciamento de vítimas do lado da operação de ataque.
Ataque multiplataforma
Suporta criptografia de arquivos do ambiente do sistema Linux.
Do ponto de vista da batalha real, esta família não é uma ferramenta de ransomware grosseira, mas uma implementação madura com escalabilidade e reutilização. Após uma análise detalhada do algoritmo de criptografia, pode-se confirmar que: na ausência da chave privada mestre RSA do atacante, a possibilidade de recuperação de arquivos é basicamente zero, seja por força bruta ou extração de chaves residuais na memória.
Recomendações de Proteção
Para isso, a equipe de antivírus 360 faz as seguintes recomendações de proteção:
Proteção de entrada
Verifique e corrija imediatamente as vulnerabilidades do sistema e dos componentes de terceiros expostos externamente, concentrando-se na verificação da exploração de vulnerabilidades de alto risco recentes.
Princípio do mínimo privilégio
Concentre as contas de administrador local e as contas de alta permissão de domínio, desative as portas de gerenciamento remoto desnecessárias e limpe os serviços de senha fraca.
Proteção de detecção de comportamento de ransomware
Implante um software de proteção de segurança de terminal confiável, ative a capacidade de proteção especial de ransomware e mantenha a proteção em tempo real ativada.
Isolamento de ativos críticos
Implemente o particionamento de rede para servidores de arquivos, bancos de dados e sistemas de backup, bloqueando o caminho de propagação horizontal após uma única intrusão.
Estratégia de backup
Execute o princípio de backup 3-2-1, garantindo que ele inclua cópias de backup offline ou imutáveis e pratique regularmente o processo de recuperação por prioridade de negócios.
Sem cartão para começar · Planos a partir de R$49/mês
Análise Profunda da Implementação de Criptografia e Características Comportamentais do Ransomware Sorry
O ransomware Sorry, detectado em março deste ano, tem explorado vulnerabilidades em softwares corporativos comuns para lançar seus ataques. Ele é capaz de carregar payloads remotamente e demonstra capacidade de ataque de ransomware multiplataforma. Recentemente, a equipe de antivírus 360 recebeu repetidos relatos e alertas de ataques relacionados ao ransomware Sorry, com picos de ataques concentrados em dois finais de semana em meados de abril. Através da análise reversa de amostras, reconstrução da estrutura de arquivos criptografados e rastreamento da cadeia de ataque, esta instância exibe um padrão de ataque claro de "implantação automática em massa por exploração de vulnerabilidades" e "criptografia direcionada de arquivos-alvo". Tecnicamente, a família utiliza um design de encapsulamento de chave em camadas, empregando uma combinação de algoritmos RSA+RSA+AES-GCM para criptografia de arquivos e proteção de chaves. Este design, além de equilibrar a velocidade de criptografia em massa, também aumenta significativamente a dificuldade para as vítimas recuperarem arquivos diretamente, sem as chaves.
Além disso, a amostra coleta ativamente informações de identificação do host durante a execução, incluindo, mas não se limitando a, o nome do host e o valor "host_hash" calculado com base nas características do ambiente do dispositivo atual. Essas informações são escritas em estruturas de dados relevantes para que o lado da operação de ataque possa rastrear e gerenciar os hosts afetados e as sessões de criptografia. Em resumo, esta variante possui uma implementação completa e de alta qualidade. Recomenda-se que os fornecedores de segurança classifiquem este incidente como um evento de ransomware de nível médio a alto risco e iniciem os procedimentos de resposta em camadas correspondentes. Ao mesmo tempo, considerando sua atividade mais intensa durante os feriados de fim de semana, é crucial preparar planos de proteção de segurança para um possível novo pico de ataques durante o feriado de 1º de maio.
Fluxo de Ataque do Ransomware Sorry
A cadeia de processo de ataque típica do ransomware Sorry é a seguinte:
[Imagem 1. Exemplo da cadeia de processo de ataque]
O fluxo lógico de criptografia do ransomware é mostrado abaixo:
[Imagem 2. Diagrama do processo de criptografia]
Nossos analistas, combinando a invasão completa e a cadeia de criptografia com nossa análise técnica e soluções, esclareceram o diagrama completo do processo de criptografia/descriptografia da família Sorry, para que todos possam entender de forma mais intuitiva a situação geral deste ataque.
[Imagem 3. Visão geral do ataque do ransomware Sorry]
Análise Técnica da Amostra de Ransomware
Inicialização do Ambiente
Tomando uma amostra típica de ransomware como exemplo, ela primeiro interrompe os serviços relacionados ao MSSQL após a execução. Entre vários serviços de banco de dados, o ransomware interrompe apenas os serviços relacionados ao MSSQL, indicando que seu alvo de ransomware é altamente direcionado aos sistemas de servidor.
[Imagem 4. Desligamento direcionado do serviço MSSQL]
Além da lista de extensões criptografadas, para evitar anomalias desnecessárias do sistema que causem falha na criptografia, o ransomware também exclui o caminho, o nome do arquivo e as extensões de alguns arquivos.
Os nomes de arquivos e extensões excluídos são os seguintes:
thumbs.db, netuser.dat, autorun.inf, iconcache.db, bootfont.bin, desktop.ini, pagefile.sys, .ds_store, .sorry, readme.md
As palavras-chave de diretório e caminho excluídas são as seguintes:
:\windows, \git\mingw64, \git\usr, \go\src, \go\pkg\mod, \java\jdk, \vmware\drivers, \program files\vmware, \inetpub\temp\apppools, programdata, efi.boot, efi.microsoft, all users, node_modules, .git, recycle.bin, system volume information, .trash, .cache, pycache, ieidcache, \appdata, .recovery, local settings, site-packages, test_importlib
[Imagem 5. Código de inicialização inicial]
Algoritmo de Criptografia de Arquivos
O ransomware usa o algoritmo AES-GCM para criptografar arquivos. Ao iniciar a operação de criptografia formal, ele primeiro gera uma chave AES separada para cada arquivo e o valor Nonce/IV necessário para o modo GCM do algoritmo.
[Imagem 6. Geração de chave AES aleatória]
Ao mesmo tempo, o ransomware também chama o algoritmo RSA para gerar um par de chaves públicas e privadas, para criptografar a chave AES-GCM usada para criptografar arquivos. E depois que o par de chaves RSA é gerado, o ransomware usa novamente a chave pública RSA embutida para criptografar a chave privada RSA gerada no local e criptografar as informações do nome de usuário e nome da máquina obtidas no local.
A chave pública RSA embutida do ransomware é a seguinte:
[Imagem 8. Chave pública RSA embutida]
A amostra também abrirá arquivos de forma exclusiva ou contornando a proteção, para evitar que os arquivos não possam ser lidos quando estiverem em uso, afetando sua operação de criptografia de arquivos.
[Imagem 9. Abrindo arquivos de forma exclusiva]
O ransomware chamará diretamente as operações do sistema com base em NTAPI. Esta operação pode efetivamente contornar a maioria das chamadas de API regulares de software (como operações de leitura/gravação de arquivos) e iniciar chamadas diretamente para o kernel do sistema. Esta abordagem é usada principalmente para evitar a monitoração de chamadas de interface no modo de usuário por vários clientes de segurança, incluindo EDR, para obter a chamada "criptografia de ponto cego".
[Imagem 10. Usando NTAPI para criptografia de ponto cego]
Estrutura de Dados
Após a conclusão de todas as operações de criptografia, a estrutura de saída final do arquivo criptografado é a seguinte:
Magic Header
1 byte, conteúdo fixo 0x11
[Imagem 11. Escrevendo o cabeçalho Magic]
Valor do Comprimento do CHUNK
4 bytes, valor de comprimento em ordem big-endian
[Imagem 12. Dados CHUNK_LENGTH]
Bloco de encapsulamento RSA
4 bytes anteriores, valor de comprimento em ordem big-endian. Seguido pelo bloco de texto cifrado.
[Imagem 13. Bloco de encapsulamento RSA]
CHUNK_CIPHER de blocos de dados separados
O anterior é o chunk_cipher_length de 4 bytes, big-endian. Seguido pelos dados de texto cifrado correspondentes ao comprimento, e chunk_length = plaintext_chunk + 16.
[Imagem 14. Dados CHUNK_CIPHER_LENGTH]
Dados de terminação
Comprimento de 4 bytes, preenchido com dados 0x00 fixos.
[Imagem 15. Dados de terminação]
O tamanho do bloco é 0x100000 bytes (1MB).
[Imagem 16. Definição do tamanho do bloco]
A fórmula de cálculo do tamanho dos dados anexados após a criptografia do arquivo é a seguinte:
Especificamente para a amostra analisada desta vez, os valores finais de L1 e L2 são:
L1=2048
L2=256
Portanto:
Em resumo, a forma de calcular o comprimento dos dados anexados após a criptografia pelo ransomware Sorry é mostrada na figura:
[Imagem 17. Método de cálculo do comprimento dos dados anexados]
De acordo com os diferentes valores de N, os valores de Δ são os seguintes:
Tamanho original
N
Valor
Cálculo: 2317 + 20×N
Tamanho dos dados anexados após a criptografia Δ
1 MB
1
2317+20
+2337
5 MB
5
2317+100
+2417
10 MB
10
2317+200
+2517
…
…
…
…
Tabela 1. Cálculo do valor Δ
Nota de Resgate
A nota de resgate é um pedaço de dados de comprimento fixo (0x184 bytes) criptografados com XOR. A amostra de resgate descriptografará seu conteúdo em um arquivo ReadMe.md após a conclusão da criptografia.
[Imagem 18. Liberando a nota de resgate ReadMe.md]
A nota de resgate das primeiras versões também continha a ID do usuário inserida manualmente, mas como a nova amostra usa a operação de escrita da ID do usuário e das informações da chave privada criptografada no arquivo criptografado, a ID não é mais necessária na nota de resgate.
[Imagem 19. Conteúdo da nota de resgate embutida]
O conteúdo final exibido do arquivo README.md da nota de resgate é o seguinte:
[Imagem 20. Conteúdo do arquivo da nota de resgate liberada]
Roubo de Informações
Além das operações de criptografia regulares acima, o ransomware também enviará informações sobre a criptografia e as informações da máquina do usuário. Ele fará uma solicitação GET ao servidor para obter um endereço IP e concatenará e passará informações-chave no User-Agent.
Os campos específicos a serem passados são os seguintes:
Firefox-type=stats
&hostname=360AntivirusTeam &host_hash=09b3e7a2acd05155eba33cfff8388374&ts=1775829511
&level=1
&ok=1999
&skipped=3
&failed=20
O host_hash é calculado da seguinte forma: use "algumas informações fixas da máquina" para formar uma sequência de dados e, em seguida, execute a operação HASH do algoritmo SHA256 e, em seguida, pegue a primeira metade (ou seja, os primeiros 16 bytes) da string HEX minúscula de 32 bits como uma impressão digital única.
Este valor pode ser entendido como a geração de um "ID de identidade única" para cada computador. Essas informações fixas incluem:
HOSTNAME: Nome da máquina
USERNAME: Nome de usuário
PROCESSOR_IDENTIFIER: Informações da CPU
NUMBER_OF_PROCESSORS: Número de núcleos da CPU
SystemDrive: Disco do sistema (como C:)
Finalmente, o ransomware passará as informações acima por meio de uma solicitação GET no campo User-Agent para o servidor do hacker.
[Imagem 21. Transmissão de informações por meio do campo User-Agent da solicitação GET]
Os campos detalhados de dados de upload e seus significados são mostrados abaixo:
Nome do campo
Exemplo
Valor
Descrição
Firefox-type
stats
Tipo de solicitação, indicando que são dados estatísticos
hostname
360AntivirusTeam
Nome do host do cliente
host_hash
09b3e7a2acd05155eba33cfff8388374
Valor hash sha256 gerado com base na identificação do host [16].hex() (usado para ID de dispositivo exclusivo)
ts
1775829511
Timestamp Unix, timestamp de geração de dados criptografados
level
1
Identificador de nível (nível de log ou dimensão)
ok
1999
Número de arquivos criptografados com sucesso
skipped
3
Número de arquivos ignorados na criptografia
failed
20
Número de arquivos que falharam na criptografia
Tabela 2. Campos de dados de upload e seus significados
Além disso, também recebemos feedback de alguns usuários Linux que foram criptografados, indicando que este ataque de ransomware não se limita à plataforma de sistema Windows regular. A situação da infecção dos dispositivos dos usuários Linux é a seguinte:
[Imagem 22. Situação dos dispositivos afetados pelo Linux]
Com base nas conclusões da análise estática e dinâmica, o ransomware Sorry pode reduzir efetivamente a probabilidade de interceptação pela monitoração de comportamento dinâmico de terminais de segurança, como EDR, chamando diretamente a interface NTDLL de baixo nível e ignorando ativamente os diretórios críticos do sistema, e possui forte capacidade de combate à detecção.
As características técnicas específicas são as seguintes:
Cadeia de criptografia completa
Adota o mecanismo de proteção de criptografia em camadas RSA+RSA+AES-GCM;
Estrutura de formato de arquivo estável
Pode reconhecer a estrutura completa de cabeçalho Magic fixo + segmento de encapsulamento RSA + texto cifrado em blocos + bloco de terminação;
Geração de chave sem falhas óbvias
A chave de sessão AES vem da interface aleatória em nível de sistema, sem defeitos utilizáveis, como sementes fixas;
Possui lógica de gerenciamento de identificação da vítima
Existe uma construção de identificação do lado do host baseada em HOSTNAME, HOST_HASH, que está relacionada ao sistema de gerenciamento de vítimas do lado da operação de ataque.
Ataque multiplataforma
Suporta criptografia de arquivos do ambiente do sistema Linux.
Do ponto de vista da batalha real, esta família não é uma ferramenta de ransomware grosseira, mas uma implementação madura com escalabilidade e reutilização. Após uma análise detalhada do algoritmo de criptografia, pode-se confirmar que: na ausência da chave privada mestre RSA do atacante, a possibilidade de recuperação de arquivos é basicamente zero, seja por força bruta ou extração de chaves residuais na memória.
Recomendações de Proteção
Para isso, a equipe de antivírus 360 faz as seguintes recomendações de proteção:
Proteção de entrada
Verifique e corrija imediatamente as vulnerabilidades do sistema e dos componentes de terceiros expostos externamente, concentrando-se na verificação da exploração de vulnerabilidades de alto risco recentes.
Princípio do mínimo privilégio
Concentre as contas de administrador local e as contas de alta permissão de domínio, desative as portas de gerenciamento remoto desnecessárias e limpe os serviços de senha fraca.
Proteção de detecção de comportamento de ransomware
Implante um software de proteção de segurança de terminal confiável, ative a capacidade de proteção especial de ransomware e mantenha a proteção em tempo real ativada.
Isolamento de ativos críticos
Implemente o particionamento de rede para servidores de arquivos, bancos de dados e sistemas de backup, bloqueando o caminho de propagação horizontal após uma única intrusão.
Estratégia de backup
Execute o princípio de backup 3-2-1, garantindo que ele inclua cópias de backup offline ou imutáveis e pratique regularmente o processo de recuperação por prioridade de negócios.
RSA-Master-Pubkey
—–BEGIN PUBLIC KEY—–
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA9FDS8hGaEUcJo0TwuAnR
GAf6DvFX7TI8GDm1lO5wqOOz40UImC+W5KW6kpocrvPu5sa0M4AufxGeXnvqrBMs
RFQxKDlmGMlGkyzwmgZv+1+Lm9V3xt7bJQiDrKWLDFys6L4BoRmAynre0Bcv/l2J
MmFxaeXm4sb9QRuDGVFXFnA3MxTYYv+KjWBEzWOBDdwSuJ2V80t0kbkQbr+ib3B6
SrcBh0JBX4WmyTmAi7mL3ECl+ihvWioflpLUptGkqHQX4VxhYk6mqytnl++YG05b
lyAGg8Czh51hXIl8tJaGszfNTZ/eY4LvnIDKg1b2gdjpiZDbXrefW7AFvcuC2FVC
JwIDAQAB
—–END PUBLIC KEY—–
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
