SnowSoul勒索軟件解密技術(shù)分析

2025-11-18 17:49:31
我要分享


微信掃碼分享

近期，我們捕獲并分析了新近活躍的勒索家族 SnowSoul。該家族采用對稱加密與非對稱加密相結(jié)合的混合方案來加密受害者文件，具有傳播快、干擾面廣、對生產(chǎn)業(yè)務(wù)影響顯著等特點。為評估其真實危害與可行的處置路徑，我們對其樣本進行了完整的行為分析、加密流程逆向與密鑰管理機制分析。通過深入分析，我們不僅還原了其攻擊鏈與加密實現(xiàn)細節(jié)，還識別出其密碼學(xué)設(shè)計中的關(guān)鍵缺陷，我們利用這一缺陷開發(fā)了一個有效的解密器，經(jīng)驗證可成功解密被其加密的文件，并已在多個樣本與受影響環(huán)境中驗證，可穩(wěn)定恢復(fù)被其加密的文件。

技術(shù)分析

運行流程概述

SnowSoul勒索軟件加密前置處理流程圖如下：

圖1. SnowSoul勒索加密前處理流程示意圖?

SnowSoul勒索軟件加密流程簡圖如下所示：

圖2. SnowSoul勒索軟件加密流程示意圖

前置操作

在SnowSoul加密過程中，首先會排除一些目錄或文件，這些目錄或文件看起來大部分為系統(tǒng)相關(guān)目錄或文件，但部分名稱有所不同，推測可能是拼寫錯誤。

圖3. 排除的目錄和文件名稱列表

軟件運行后，首先會通過修改注冊表，禁用系統(tǒng)的任務(wù)管理器。接下來，SnowSoul會執(zhí)行bcdedit命令，禁用系統(tǒng)的恢復(fù)模式。完成后，SnowSoul還會像大多數(shù)勒索軟件一樣，刪除用于備份系統(tǒng)數(shù)據(jù)的卷影副本。SnowSoul還會強制刪除當前設(shè)備備份目錄中存儲的數(shù)據(jù)庫，這一操作等同于對系統(tǒng)備份目錄進行了重置操作。

圖4. SnowSoul勒索軟件系統(tǒng)前置操作代碼

駐留系統(tǒng)

接下來，SnowSoul會嘗試實現(xiàn)持久化駐留系統(tǒng)，其函數(shù)的作用是把當前可執(zhí)行文件自身復(fù)制到用戶的Roaming目錄下（通常對應(yīng)系統(tǒng)環(huán)境變量的%AppData%），并以指定的文件名運行。如果目錄中已經(jīng)存在同名文件，則會將其覆蓋后再啟動，然后退出當前進程。

圖5. 復(fù)制到指定%AppData%中并啟動?

SnowSoul還會嘗試停止一些系統(tǒng)服務(wù)和進程，防止影響加密操作的占用。此外，被該勒索軟件加密的文件擴展名共有532種，覆蓋幾乎所有常見的文檔及數(shù)據(jù)文件擴展名。在加密文件操作完成后，被加密的新文件會被附加一個隨機的加密擴展名。該擴展名是將隨機的5個字符（隨機范圍為10個數(shù)字和26個小寫字母）：

圖6. 隨機的加密文件擴展名

SnowSoul的文件加密操作采用了AES-CBC加密算法：

圖7. 文件加密算法及參數(shù)

對于上述用來加密文件的加密AES密鑰文件，則采用RSA-2048公鑰進行加密：

圖8. 密鑰文件加密算法?

這一加密操作使用的RSA公鑰，通過硬編碼方式直接內(nèi)置在程序代碼中：

圖9. 硬編碼的RSA公鑰數(shù)據(jù)?

加密后覆蓋原文件為“?”并將原文件刪除，這一操作是用來防止對原數(shù)據(jù)進行恢復(fù)的典型數(shù)據(jù)破壞行為。

圖10. 破壞原文件數(shù)據(jù)防止恢復(fù)

通過分析發(fā)現(xiàn)，被加密后的文件固定結(jié)構(gòu)中的前8個字節(jié)，為用于加密的AES算法中的IV值。與之對應(yīng)的，被加密的文件尾部344字節(jié)，為RSA加密過的AES密鑰再次進行Base64編碼后的數(shù)據(jù)。

完成所有加密操作后，SnowSoul會在受害系統(tǒng)中釋放勒索信。

圖11. 被釋放到受害者系統(tǒng)中的勒索信

數(shù)據(jù)解密

雖然 SnowSoul勒索的加密操作采用了AES + RSA-2048這種非常成熟的加密算法組合，但經(jīng)過深入分析，我們發(fā)現(xiàn)其加密實現(xiàn)設(shè)計上存在缺陷。我們利用這些缺陷，開發(fā)了一款有效的解密工具。經(jīng)測試，該解密工具可成功解密被其加密的文件，并在多個已受該家族樣本感染的真實環(huán)境中進行了實際驗證，可穩(wěn)定恢復(fù)所有被加密的文件數(shù)據(jù)。

圖12. “SnowSoul勒索解密工具”可有效解密文件并恢復(fù)數(shù)據(jù)

寫在最后

當前，絕大多數(shù)勒索軟件采用以RSA為核心的混合加密機制。而在未獲得攻擊者解密私鑰的情況下，幾乎無法對被加密的文件進行解密恢復(fù)。本次我們針對SnowSoul的成功解密，源于其加密算法的實現(xiàn)存在缺陷，具有一定的偶發(fā)性與針對性，并不代表對此類勒索軟件的解密具有通用性。所以，請所有用戶——尤其是重要數(shù)據(jù)的維護人員，務(wù)必持續(xù)做好離線/不可變備份與基礎(chǔ)防護，切勿因個案的解密成功，而放松對數(shù)據(jù)備份與勒索攻擊預(yù)防的重視與投入。

熱點排行

SnowSoul勒索軟件解密技術(shù)分析

熱點排行

關(guān)注我們