新闻中心

Conti源码剖析，Bevictor伟德勒索解密工具已就位！

宣布时间：2022-04-28

浏览次数：2853

克日，Bevictor伟德谛听实验室捕获到Conti勒索病毒。Conti是工业领域最活跃的勒索病毒之一，据统计Conti已乐成攻击至少475个组织并窃取其数据，包括公共汽车集团、工业物联网厂商Advantech、台达电子等机构，其中绝大部分的数据已差别水平被果真。克日，一位乌克兰研究职员在Twitter上披露Conti勒索软件源代码， Conti遭遇杀绝性攻击。本文专门针对Conti手艺细节使用举行剖析，并提供防护建议。

现在，Bevictor伟德谛听实验室已获取该勒索病毒密钥，可为熏染该勒索病毒的客户提供解密工具。Bevictor伟德EDR、自顺应清静防御系统、过滤网关等产品均可精准检测并查杀该勒索病毒，Bevictor伟德下一代防火墙可对该勒索病毒撒播途径举行阻断，有用避免勒索事务爆发。

病毒剖析

Conti勒索病毒v3版本的参数挪用如下：

程序使用扩展名.EXTEN，加密水平g_EncryptSize是指加密文件巨细的百分比，默以为50%。

静态免杀

在32位系统中使用FS寄存器获取到PEB地址后，通过遍历内核结构体的链表并较量哈希值获取kernel32.dll的基地址。

遍历kernel32.dll等系统�？榈牡汲霰砻植⑴趟鉓urmurHash2A 哈希，通过盘问嵌入在二进制PE中的MurmurHash2A哈希值寻找LoadLibraryA等必需的库函数地址。MurmurHash2A算法，这是一种众所周知的极快的非加密散列，适用于基于散列的查找，其项目开源地址为

https://github.com/abrandoned/murmur2/blob/master/MurmurHash2.c

通过__forceinline内联函数GetProcAddressEx2动态获取所需要的API函数地址，主要作用是在导入表中隐藏所需要的API函数，避免被yara等规则静态匹配剖析。C++中inline和__inline通知编译器将该函数的内容拷贝一份放在挪用函数的地方，这称之为内联。内联镌汰了函数挪用的开销，但却增添了代码量。__forceinline要害字不基于编译器的性能和优化剖析而依赖于程序员的判断举行内联。

反调试反HOOK

反HOOK的函数事情原理：通过GetModuleFileNameW 函数获取�？榈穆肪�，该路径将用于CreateFile函数建设句柄，然后使用CreateFileMapping和MapViewOfFile函数将系统库再次映射到另一个内存部分，这样断点就不会起作用。

通过遍历导出表来获取函数的地址，判断获取到的地址的OPCODE反汇编是否为jmp汇编指令，若是被HOOK最终通过CopyMemory函数修复被HOOK的函数地址。

混淆

字符串混淆

使用OBFA()和OBFW()函数举行宏替换字符串混淆。“OBFA”用于 ASCII 字符串，“OBFW”用于 UNICODE 字符串。函数中使用扩展欧几里得算法Extended Euclidean，每次都使用转变的数值天生混淆后的字符串。

算法中A、B是两个会随机转变的数字。(A*要加密字符byte+B)%127就是加密后的字符。

解密剧本链接：

https://github.com/Finch4/Malware-Analysis-

Reports/blob/master/conti_string_decrypt.py

指令混淆

Morphcode是宏替换混淆指令函数，混淆原理是使用MetaRandom2<0,0x7FFFFF - 1>::value随机出一个数值，然后添加划分判断它能否被2、3、4、5模整除的运算，依此添加大宗无用汇编指令。

功效函数

TAILQ行列处置惩罚

TAILQ行列是FreeBSD内核中的一种行列数据结构，主要用于处置惩罚行列，在一些著名的开源库中(如DPDK,libevent)有普遍的应用。

线程池

在threadpool命名空间中界说了Cteate、Start、PutTask、PutFinalTask、IsActive线程操作函数。在线程池的Start函数中建设名为ThreadPoolHandler的线程函数，ThreadPoolHandler线程函数主要举行网络和文件的加密。线程数目在完全加密模式下和处置惩罚器数目相同，其他模式下是处置惩罚器数目的两倍。

主要功效函数列表：

删除卷影副本

DeleteShadowCopies函数挪用wbem的流程：

一、初始化COM

二、设置一样平常的COM清静品级

三、获取最初的WMI的locator

四、通过IWbemLocator::ConnectServer要领毗连WMI

五、设置代理上的清静品级

六、使用IWbemServices指针发出WMI请求

七、获取请求的返回数据

焦点加密算法

在遍历文件的函数中使用焦点加密函数cryptor::Encrypt函数最先加密文件。

在locker::GenKey要领中使用RSA公钥加密随机爆发的ChaCha20算法（Salsa20加密算法的一种变体）的32字节key和8字节iv。

文件分类加密，详细针对差别的文件加密要领如下表。其中1M=1048576字节。

加密性能

在测试系统中，程序运行3分钟完玉成盘加密。加密历程中有约5万个文件由于权限问题无法翻开。

网络共享文件加密

若是运行模式为-net或-all都会举行网络共享文件加密。在线程函数中会挪用HostHandler函数来获取网络共享下其他主机的信息，如下为通过NetShareEnum函数枚举到网络共享文件夹后举行处置惩罚加密路径的代码。

加密共享文件目录下的大都文件时同样会因权限问题不可举行加密，可是/User/Public/目录下的公共音视频文件基本都可以被加密。

重启系统清静模式加密

在zscaler公司的报告披露中，Conti还会以清静模式重启系统并加密文件，其基本办法如下：

一、执行下令cmd.exe /c net user <admin> /active:yes以确保该帐户已启用。然后，Conti 将实验通过执行下令cmd.exe /c net user<admin> “”将此帐户的密码更改为空字符串。将响应的注册表值设置为在系统重新启动时以清静模式自动以管理员身份登录：

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon下的注册表值设置为以下值：

AutoAdminLogon= 1

DefaultUserName= <username>

DefaultDomainName= <computer_name or domain_name>

DefaultPassword= <password>

二、Conti然后执行下令 bcedit.exe /set {current}safeboot network并通过挪用 Windows API 函数ExitWindowsEx()强制系统重新启动。这将在启用网络的清静模式下启动Windows，因此Conti仍可加密网络共享上的文件。

三、Conti 在清静模式下完成文件加密后，执行下令bcedit.exe/deletevalue {current} safeboot并重新启动系统。

Bevictor伟德解密工具

已熏染客户可在Bevictor伟德官网获取解密工具，还原被加密的文件，无需装置，绿色运行！

下载地址：

http://edr.topsec.com.cn/antiConti.exe

使用要领：选择需要扫描的文件夹，点击“扫描”即可对该文件夹下所有被Conti勒索病毒加密的文件举行解密，也可将被加密文件直接拖入工具框举行解密。

防护建议：

1、实时修复系统及应用误差，降低被Conti勒索病毒通过误差入侵的危害。

2、增强会见控制，关闭不须要的端口，禁用不须要的毗连，降低资产危害袒露面。

3、更改系统及应用使用的默认密码，设置高强度密码认证，并按期更新密码，避免弱口令攻击。

4、可装置Bevictor伟德清静产品增强防护，Bevictor伟德EDR、自顺应、过滤网关产品可有用防御该勒索病毒。

Bevictor伟德产品防御设置

Bevictor伟德EDR系统

1、通过微隔离战略增强会见控制，降低横向熏染危害；

2、建设周期扫描使命，准时对主机举行周全整理，消除清静隐患；

3、开启病毒实时监测功效，可有用预防和查杀该勒索病毒;

4、开启系统加固功效，可有用阻挡该勒索病毒对系统举行破损和改动。

Bevictor伟德自顺应清静防御系统

1、通过微隔离战略增强会见控制，降低横向熏染危害；

2、通过危害发明功效扫描系统是否保存相关误差和弱口令，降低危害、镌汰资产袒露；

3、开启病毒实时监测功效，可有用预防和查杀该勒索病毒。

Bevictor伟德下一代防火墙系统

1、通过会见控制战略关闭不须要的端口和服务，降低内网资产袒露危害；

2、开启入侵检测防御功效，防御口令类攻击手段，降低被入侵危害；

3、通过会见控制战略限制内网中探测类数据包，降低内网资产袒露和横向熏染危害。

Bevictor伟德过滤网关

1、升级到最新病毒特征库；

2、开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测；

3、设置病毒检测处置惩罚战略;

4、开启日志纪录和报警功效。

产品获取方法：

1、Bevictor伟德下一代防火墙、自顺应清静防御系统、EDR企业版：可通过Bevictor伟德各地分公司获�。ㄅ涛释罚�

http://www.topsec.com.cn/contact/）

2、Bevictor伟德EDR单机版下载地址：

http://edr.topsec.com.cn

3、Bevictor伟德过滤网关系统病毒库下载地址：

ftp://ftp.topsec.com.cn/防病毒网关(Top-Filter)/病毒库脱机升级包/。

上一篇前行之路~一图看懂Bevictor伟德2021年报及2022一季报

下一篇清静服务+政务网站清静 I Bevictor伟德深度加入的国家标准正式宣布了！

Bevictor伟德

Conti源码剖析，Bevictor伟德勒索解密工具已就位！

Conti源码剖析，Bevictor伟德勒索解密工具已就位！

病毒剖析

Conti勒索病毒v3版本的参数挪用如下：

静态免杀

反调试反HOOK

混淆

字符串混淆

解密剧本链接：

指令混淆

功效函数

TAILQ行列处置惩罚

线程池

删除卷影副本

焦点加密算法

加密性能

网络共享文件加密

重启系统清静模式加密

Bevictor伟德解密工具

下载地址：

防护建议：

Bevictor伟德产品防御设置

Bevictor伟德EDR系统

Bevictor伟德自顺应清静防御系统

Bevictor伟德下一代防火墙系统

Bevictor伟德过滤网关

产品获取方法：

品牌动态

怎样购置

手艺支持

资源中心

合作伙伴

快速链接

Bevictor伟德

Conti源码剖析，Bevictor伟德勒索解密工具已就位！

Conti源码剖析，Bevictor伟德勒索解密工具已就位！

病毒剖析

Conti勒索病毒v3版本的参数挪用如下：

静态免杀

反调试反HOOK

混淆

字符串混淆

解密剧本链接：

指令混淆

功效函数

TAILQ行列处置惩罚

线程池

删除卷影副本

焦点加密算法

加密性能

网络共享文件加密

重启系统清静模式加密

Bevictor伟德解密工具

下载地址：

防护建议：

Bevictor伟德产品防御设置

Bevictor伟德EDR系统

Bevictor伟德自顺应清静防御系统

Bevictor伟德下一代防火墙系统

Bevictor伟德过滤网关

产品获取方法：

品牌动态

怎样购置

手艺支持

资源中心

合作伙伴

快速链接

Conti源码剖析，Bevictor伟德勒索解密工具已就位！

Conti源码剖析，Bevictor伟德勒索解密工具已就位！