一款使用硬件加速的勒索软件——XData
日前,一款名为Xdata的勒索软件大范围攻击了乌克兰的计算机设备,被攻击的主机上文件被加密,攻击者要求通过匿名邮件联系,来支付赎金并且获得解密的方法。
该勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程。
AES-NI指令集
高级加密标准新指令(Advanced Encryption Standard New Instructions; AES-NI),是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用高级加密标准(AES)执行加密和解密的速度。
AES-NI新指令如下表所示:
AESENC,AESENCLAST,AESDEC,AESDECLAST四条指令完成加解密功能,每条指令有两个参数register-register或register-memory。
AESENC完成一轮加密操作,包括四步:
◆字节替代(SubBytes)
◆行移位(ShiftRows)
◆列混淆(MixColumns)
◆轮密钥加(AddRoundKey)
AESENCLAST完成最后一轮加密操作:
◆字节替代(SubBytes)
◆行移位(ShiftRows)
◆轮密钥加(AddRoundKey)
AESDEC完成一轮解密操作,包括四步:
◆逆向字节替代(InvSubBytes)
◆逆向行移位(InvShiftRows)
◆逆向列混淆(InvMixColumns)
◆轮密钥加(AddRoundKey)
AESDECLAST完成最后一轮解密操作:
◆逆向字节替代(InvSubBytes)
◆逆向行移位(InvShiftRows)
◆和轮密钥加(AddRoundKey)
AESKEYGENASSIST和AESIMC两条指令是加解密操作的扩展指令,AESKEYGENASSIST用于协助生成AES轮回秘钥,AESIMC用于协助解密操作AES逆列混合。
Xdata勒索软件AES-NI使用
Xdata勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程:
使用aeskeygenassist指令协助生成AES轮回秘钥:
使用aesenc和aesenclast指令完成加密操作:
总结
XData勒索软件据说来源于早些时候曝出的AES-NI勒索软件,该软件的作者也于前些日子公开发表声明,表示“Xdata是有人偷取了之前AES-NI样本的代码从而设计并传播的,和自己没有关系”。Xdata和AES-NI勒索软件均通过检测感染主机是否支持aes-ni高级加密指令集,若支持,则使用硬件加速提高文件加密速度。
完整内容请点击文末“阅读原文”
请点击屏幕右上方“…” NSFOCUS-weixin | |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 奋力打开改革发展新天地 7936140
- 2 中国黄金原董事长家搜出大量黄金 7994581
- 3 保时捷断臂求生 7891852
- 4 “冷资源”里的“热经济” 7700036
- 5 赖床其实是在保护心脏 7685246
- 6 刘强东提前发年终奖 7559961
- 7 向佐红毯小牌大耍 7452723
- 8 喝水后有4种表现提示肾有问题 7349934
- 9 十来岁男孩尾随女孩进电梯脱裤子 7212272
- 10 恒大地产1.2亿元债权将1元起拍 7178350