一款使用硬件加速的勒索软件——XData

看点 作者:绿盟科技 2017-06-06 09:51:53

日前,一款名为Xdata的勒索软件大范围攻击了乌克兰的计算机设备,被攻击的主机上文件被加密,攻击者要求通过匿名邮件联系,来支付赎金并且获得解密的方法。

该勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程。

AES-NI指令集

高级加密标准新指令(Advanced Encryption Standard New Instructions; AES-NI),是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用高级加密标准(AES)执行加密和解密的速度。

AES-NI新指令如下表所示:

AESENC,AESENCLAST,AESDEC,AESDECLAST四条指令完成加解密功能,每条指令有两个参数register-register或register-memory。

AESENC完成一轮加密操作,包括四步:

◆字节替代(SubBytes)

◆行移位(ShiftRows)

◆列混淆(MixColumns)

◆轮密钥加(AddRoundKey)

AESENCLAST完成最后一轮加密操作:

◆字节替代(SubBytes)

◆行移位(ShiftRows)

◆轮密钥加(AddRoundKey)

AESDEC完成一轮解密操作,包括四步:

◆逆向字节替代(InvSubBytes)

◆逆向行移位(InvShiftRows)

◆逆向列混淆(InvMixColumns)

◆轮密钥加(AddRoundKey)

AESDECLAST完成最后一轮解密操作:

◆逆向字节替代(InvSubBytes)

◆逆向行移位(InvShiftRows)

◆和轮密钥加(AddRoundKey)

AESKEYGENASSIST和AESIMC两条指令是加解密操作的扩展指令,AESKEYGENASSIST用于协助生成AES轮回秘钥,AESIMC用于协助解密操作AES逆列混合。

Xdata勒索软件AES-NI使用

Xdata勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程:

使用aeskeygenassist指令协助生成AES轮回秘钥:

使用aesenc和aesenclast指令完成加密操作:

总结

XData勒索软件据说来源于早些时候曝出的AES-NI勒索软件,该软件的作者也于前些日子公开发表声明,表示“Xdata是有人偷取了之前AES-NI样本的代码从而设计并传播的,和自己没有关系”。Xdata和AES-NI勒索软件均通过检测感染主机是否支持aes-ni高级加密指令集,若支持,则使用硬件加速提高文件加密速度。


完整内容请点击文末“阅读原文”





请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

点击下方“阅读原文”查看更多
↓↓↓

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接