一款使用硬件加速的勒索软件——XData

日前,一款名为Xdata的勒索软件大范围攻击了乌克兰的计算机设备,被攻击的主机上文件被加密,攻击者要求通过匿名邮件联系,来支付赎金并且获得解密的方法。
该勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程。
AES-NI指令集
高级加密标准新指令(Advanced Encryption Standard New Instructions; AES-NI),是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用高级加密标准(AES)执行加密和解密的速度。
AES-NI新指令如下表所示:

AESENC,AESENCLAST,AESDEC,AESDECLAST四条指令完成加解密功能,每条指令有两个参数register-register或register-memory。
AESENC完成一轮加密操作,包括四步:
◆字节替代(SubBytes)
◆行移位(ShiftRows)
◆列混淆(MixColumns)
◆轮密钥加(AddRoundKey)
AESENCLAST完成最后一轮加密操作:
◆字节替代(SubBytes)
◆行移位(ShiftRows)
◆轮密钥加(AddRoundKey)
AESDEC完成一轮解密操作,包括四步:
◆逆向字节替代(InvSubBytes)
◆逆向行移位(InvShiftRows)
◆逆向列混淆(InvMixColumns)
◆轮密钥加(AddRoundKey)
AESDECLAST完成最后一轮解密操作:
◆逆向字节替代(InvSubBytes)
◆逆向行移位(InvShiftRows)
◆和轮密钥加(AddRoundKey)
AESKEYGENASSIST和AESIMC两条指令是加解密操作的扩展指令,AESKEYGENASSIST用于协助生成AES轮回秘钥,AESIMC用于协助解密操作AES逆列混合。
Xdata勒索软件AES-NI使用
Xdata勒索软件通过判断受害主机是否支持AES-NI指令集,若支持,则采用硬件加速加密文件过程:

使用aeskeygenassist指令协助生成AES轮回秘钥:

使用aesenc和aesenclast指令完成加密操作:

总结
XData勒索软件据说来源于早些时候曝出的AES-NI勒索软件,该软件的作者也于前些日子公开发表声明,表示“Xdata是有人偷取了之前AES-NI样本的代码从而设计并传播的,和自己没有关系”。Xdata和AES-NI勒索软件均通过检测感染主机是否支持aes-ni高级加密指令集,若支持,则使用硬件加速提高文件加密速度。
完整内容请点击文末“阅读原文”
![]() | 请点击屏幕右上方“…” NSFOCUS-weixin |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 习近平将发表二〇二六年新年贺词 7904141
- 2 2026年国补政策来了 7808738
- 3 东部战区:开火!开火!全部命中! 7712893
- 4 2026年这些民生政策将惠及百姓 7616985
- 5 小学食堂米线过期2.5小时被罚5万 7519709
- 6 解放军喊话驱离台军 原声曝光 7428214
- 7 为博流量直播踩烈士陵墓?绝不姑息 7327605
- 8 每月最高800元!多地发放养老消费券 7238391
- 9 数字人民币升级 1月1日起将计付利息 7141831
- 10 2026年1月1日起 一批新规将施行 7040675














绿盟科技
