Conti勒索软件源代码分析

最新推荐文章于 2024-06-03 09:36:42 发布
最新推荐文章于 2024-06-03 09:36:42 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Windows病毒分析 文章标签: 系统安全 勒索软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43312649/article/details/128251401
版权
本文详细分析了Conti勒索软件的技术细节,包括静态免杀、反调试反HOOK、字符串混淆、指令混淆、线程池实现、加密算法、加密性能以及在安全模式下的重启加密策略。通过对源代码的解析,揭示了Conti如何巧妙地逃避检测和增强加密能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2022年3月一位乌克兰研究人员把Conti勒索软件源代码泄露在Twitter上,本篇针对Conti的技术细节利用进行分析。

Conti勒索

参数

Conti勒索软件v3版本的参数调用如下:

参数 功能
-p 指定加密路径
-m Local all net backups四种选项
-log 开启日志
-size 加密文件百分比大小
-pids 白名单进程ID
-prockiller Prockiller enabled

程序在不指定参数的情况下设置有默认值。默认使用扩展名.EXTEN,全部加密模式,加密大小g_EncryptSize是指加密文件大小的百分比,默认为50%。
在这里插入图片描述

静态免杀

在32位系统中通过FS寄存器获取到PEB地址后,通过遍历内核

了解本专栏 订阅专栏 解锁全文 超级会员免费看
勒索软件分析_Conti
kitsch0x97的博客
05-26 1119
Conti的行为与大多数勒索软件类似,但它经过精心设计,更加高效且更具规避性。混淆能力提升:自早期的Conti(2019 年末)通过简单的 XOR 机制来隐藏在运行时解析的 API 名称。从2020年6月开始,Conti还采用了字符串混淆的自定义编码函数。运行速度提升:Conti使用多达32个并发CPU线程进行文件加密操作,并且从2020年9月开始Conti将加密算法从AES切换为CHACHA。文件加密优化:2020年9月后,Conti添加了新的文件加密逻辑(部分加密)。
恶意软件通信协议的应用现状分析
Appleteachers的博客
04-30 670
恶意软件通信协议的应用现状分析 一、简介 随着越来越多的互联网通信使用传输层安全的协议,调查发现使用TLS加密通信的恶意软件数量也在一年内翻了一番。 过去十年,传输层安全一直是互联网通信的隐私和安全的最大贡献者之一。TLS加密协议用于保护越来越多的互联网、消息和应用数据流量的安全。安全的HTTP (HTTPS) web协议、StartTLS电子邮件协议、Tor匿名网络和基于OpenVPN协议的虚拟专用网络都利用TLS来进行加密和封装,保护它们在传输过程中不被窃取或修改。 在大规模互联网监控被揭露之后,TLS
勒索软件监控程序(含源码)
06-29
用VS2015成功编译。原本是想实现GUI版本的,今天第一次上来就分享这个工具吧。 程序的基本原理就是周期性的监控可疑程序的句柄(自带挂起功能)
加密勒索软件分析
JD san的博客
04-29 822
http://www.4hou.com/typ/8445.html 加密勒索软件分析
Linux勒索软件源代码,发现基于 .NET 平台且使用开源项目的勒索软件
weixin_39808893的博客
05-13 273
Zscaler 的安全研究人员发现两款新的基于 .NET 平台的勒索软件,它们使用了开源项目以加密用户的文件。被称为 Vortex 和 BUGWARE 的两款勒索软件可实现在线攻击,例如通过发送包含恶意 URL 的垃圾邮件进行传播和攻击,它们都已被编译成微软中间语言 (MSIL),并用 'Confuser' 工具对代码进行了混淆加密。Vortex 勒索软件使用了 AES-256 位加密来对受害者机...
又一款主流勒索软件 Paradise 的源代码遭泄露
smellycat000的专栏
06-16 801
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士网络安全公司 Security Joes 的高级威胁情报分析师 Tom Malka 表示,上周末,勒索软件 Paradise 的 ...
独家发布CONTI勒索软件v3版源码,安全研究者的新利器
资源摘要信息:"conti v3解密版源代码是指Conti勒索软件家族的第三个版本的源代码,该版本源代码于2022年3月23日在中国最大的IT社区之一优快云上独家发布。Conti勒索软件是一种高级的恶意软件,它可以加密用户的文件并...
conti.maurizio.5H.SecondaWeb
03-21
【压缩包子文件的文件名称列表】中的"contri.maurizio.5H.SecondaWeb-master"很可能表示这是项目的主要源代码或者教程材料的根目录,"master"通常在Git仓库中指主分支,代表了项目的主线或最新版本。 基于以上信息...
conti v3 解密版源代码 2022年3月23日全优快云独家发布。
03-23
资源非常难找,压缩包无密码,推上的链接是指向VisualTotal,而这个网站的下载API需要专门的特权用户方可使用,最终花了一些时间终于找到,还未开始研究,先分享出来,...以便以后更好的抵御来自黑客和勒索软件的威胁。
让Linux更友好:Standard Aliases开源项目推荐
最新发布
gitblog_00059的博客
06-03 319
让Linux更友好:Standard Aliases开源项目推荐 standard-aliases Attempt at defining a standard extension to Linux in form of Bash functions 项目地址: ...
contiv.github.io:Contiv网站源代码-git source code
03-25
Contiv网站 网址: : 此存储库包含Contiv网站源文件(Markdown)和构建脚本。 如果要更改Contiv网站,请更改websrc/source下的源文件,然后按照以下说明进行操作。 贡献 参见 目录结构 此仓库的目录结构遵循典型的Middleman项目结构。 有关详细信息,请参见 。 顶层目录包含contiv.github.io网站的已编译静态内容 websrc目录包含用于构建静态内容的源文件 目录结构: +- websrc: makefile, gemfile, and other build related files +- helpers: helper scripts used for compiling the website +- source: root directory for all html template files. `inde
勒索软件样本
01-24
理解软件的功能及原理,加强对系统和网络的安全意识。
勒索软件的终结者 360 文档卫士 1.0.0.1202.rar
05-05
勒索软件是一种特殊的木马病毒,它用加密的方式绑架用户贵重的文档和图片,让用户再也不能读取文件。这些网络犯罪份子散布病毒,并向文件被加密的受害者勒索数百甚至数千美金的赎金,以换取解密的密码或金钥。然而,缴付金额不代表能够换回这些文件,有些恶毒的网络攻击者的手上甚至根本没有可以解密的方法。 勒索软件的终结者 360 文档卫士中文版勒索软件的终结者 360 文档卫士中文版 功能介绍 自动备份 无需动手 杜绝病毒篡改 发现文档修改后自动备份 为您保留三十天 轻松备份 磁盘无压力 感染病毒也不怕 文档解密来帮您 覆盖市面大部分病毒样本,帮您解锁加密文档还系统一份安宁 防护一键开启 文档再无风险 病毒篡改、恶意操作、系统崩溃统统搞定还等什么,快来下载 360文档卫士的自动备份条件包括开机后第一次修改文档,或是有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括 Word、Excel、PowerPoint、PDF 等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把 jpg 等图片格式加入保护范围。 如果您的文件不幸被加密了,360文档卫士内置最新的解密工具,例如 Crysis Decryptor 来拯救您的文件。提示:此软件仅对安装软件后被修改、开启、储存的文档有效。如果希望能够备份其他在安装360文档卫士之前的文档,请手动备份到安全的位置。
终结者2.2本地生成版+终结者完整金牌验证-源码
10-31
终结者2.2本地生成版+终结者完整金牌验证-源码
contitech br_labview_
10-02
PORBANDOOOOASASFSADFASFSADFASF
这是一款仅针对「中国网民」的勒索软件(含源码下载)
weixin_33835103的博客
07-12 325
在黑客的众多牟利手段当中,勒索软件可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件、被篡改的网站或网页广告散布。勒索软件会对用户电脑上的文件进行加密,除非受害者交付特定数额的赎金,否则受影响的文件将会一直处于不可用的状态。 最近安全研究人员发现了一种新型恶意勒索软件cuteRansomware,而该恶意勒索软件正在使用谷歌文档工具Google...
透视俄乌网络战之二:Conti勒索软件集团(上)
聚集机器学习、信息安全
09-10 4000
Conti凭借其超强的攻击和盈利能力,成为迄今为止最成功的勒索软件集团。2023年2月27日,Conti勒索软件团伙的内部聊天记录因俄乌克冲突而遭到泄露,让我们可以深入了解该组织的相关信息。
Python实现简易勒索病毒
wangluoanquan111的博客
04-18 1239
此代码若加密单独文件夹下的文件或者加密少量文件效率还可以,但是如果加密整个大的服务器系统可能会导致卡死。我觉得解决办法可以是使用多线程,python中的threading进行多线程加密。同时可能存在当前用户权限不够导致文件无法加密的情况,这个问题目前还没想到解决办法,以后有时间再来研究一下。但此demo加密一些普通文件夹还是没有问题的,主要是了解一下勒索病毒的原理以及一些常用的加密算法。欢迎各路大佬留下评论交流!
爱尔兰医疗机构HSE感染Conti,被勒索近2000万美元
MachineGunJoe666
05-17 490
勒索软件】 爱尔兰医疗机构HSE感染Conti,被勒索近2000万美元 【数据泄露】 Herff Jones客户信用卡被盗刷,涉及美国大学毕业生 【威胁情报】 黑客团伙FIN7在最近的攻击中使用新的Lizar后门 DarkSide勒索软件服务器被查封并宣布将终止运营 【分析报告】 ExtraHop称67%的公司仍易遭到WannaCry的攻击 Verizon发布2021年数据违规调查分析报告(DBIR) 01 爱尔兰医疗机构HSE感染Conti,被勒索近2000万美元 ..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值