一款使用硬件加速的勒索软件——XData

日前，一款名为Xdata的勒索软件大范围攻击了乌克兰的计算机设备，被攻击的主机上文件被加密，攻击者要求通过匿名邮件联系，来支付赎金并且获得解密的方法。

该勒索软件通过判断受害主机是否支持AES-NI指令集，若支持，则采用硬件加速加密文件过程。

高级加密标准新指令（Advanced Encryption Standard New Instructions; AES-NI），是一个x86指令集架构的扩展，用于Intel和AMD微处理器，由Intel在2008年3月提出。该指令集的目的是改进应用程序使用高级加密标准（AES）执行加密和解密的速度。

AES-NI新指令如下表所示：

AESENC，AESENCLAST，AESDEC，AESDECLAST四条指令完成加解密功能，每条指令有两个参数register-register或register-memory。

AESENC完成一轮加密操作，包括四步：

◆字节替代（SubBytes）

◆行移位（ShiftRows）

◆列混淆（MixColumns）

◆轮密钥加（AddRoundKey）

AESENCLAST完成最后一轮加密操作：

◆字节替代（SubBytes）

◆行移位（ShiftRows）

◆轮密钥加（AddRoundKey）

AESDEC完成一轮解密操作，包括四步：

◆逆向字节替代（InvSubBytes）

◆逆向行移位（InvShiftRows）

◆逆向列混淆（InvMixColumns）

◆轮密钥加（AddRoundKey）

AESDECLAST完成最后一轮解密操作：

◆逆向字节替代（InvSubBytes）

◆逆向行移位（InvShiftRows）

◆和轮密钥加（AddRoundKey）

AESKEYGENASSIST和AESIMC两条指令是加解密操作的扩展指令，AESKEYGENASSIST用于协助生成AES轮回秘钥，AESIMC用于协助解密操作AES逆列混合。

Xdata勒索软件AES-NI使用

Xdata勒索软件通过判断受害主机是否支持AES-NI指令集，若支持，则采用硬件加速加密文件过程：

使用aeskeygenassist指令协助生成AES轮回秘钥：

使用aesenc和aesenclast指令完成加密操作：

总结

XData勒索软件据说来源于早些时候曝出的AES-NI勒索软件，该软件的作者也于前些日子公开发表声明，表示“Xdata是有人偷取了之前AES-NI样本的代码从而设计并传播的，和自己没有关系”。Xdata和AES-NI勒索软件均通过检测感染主机是否支持aes-ni高级加密指令集，若支持，则使用硬件加速提高文件加密速度。

完整内容请点击文末“阅读原文”

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP