7月新型勒索软件首个样本——Tycoon的分析测评( 三 )

6.1 受害者ID（4个字节）
6.2 AES密钥（32字节）
6.3 受害人ID和AES密钥的SHA512哈希（64字节）

本文插图
带有突出显示的元数据的加密文件
由于使用非对称RSA算法对安全生成的AES密钥进行加密，因此文件解密需要获得攻击者的私有RSA密钥。尽管从理论上讲可以分解1024位RSA密钥，但尚未实现，并且需要非凡的计算能力。
但是，在BleepingComputer论坛上寻求帮助的一名受害者发布了一个RSA私有密钥，该密钥大概来自于从攻击者那里购买的受害者。事实证明，此密钥可以成功解密受最早版本的Tycoon勒索软件影响的某些文件，该软件向加密文件中添加了.redrum扩展名：

本文插图
解密的AES密钥元数据：install_id（红色）， AES密钥（绿色）， sha512哈希（蓝色）

本文插图
使用解密的AES密钥恢复.redrum文件
不幸的是，它不适用于最新的“happyny3.1”版本，该版本在加密文件中添加了.grinch和.thanos扩展名。
总结
恶意软件编写者一直在寻找新的秘密运行方式，它们正逐渐摆脱传统的混淆技术，转向不常见的编程语言和晦涩的数据格式。研究人员已经看到以Java和Go这样的语言编写的勒索软件有了大幅度的增长。这是研究人员遇到的第一个示例，该示例专门滥用Java JIMAGE格式来创建自定义的恶意JRE构建。
Tycoon已经在野外生存了至少六个月，但受害人数似乎有限。这表明该恶意软件可能具有很高的针对性。
部分电子邮件地址的重叠，以及赎金书的文本和加密文件的命名约定，表明Tycoon和Dharma/CrySIS勒索软件之间存在某种关联。
如果被Tycoon攻击者怎么办
如果你的文件未损坏，且文件已使用强大的密码算法进行了修改和加密。则此修改是可逆的。解密文件的唯一方法是购买解密软件和私钥。使用第三方软件还原文件的任何尝试都会对你的文件造成致命影响。
注意！你只有24小时的时间通过电子邮件给研究人员写信，否则你的所有文件都将丢失。
IOC

本文插图
本文翻译自：https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors；
我是安仔，一名刚入职网络安全圈的网安萌新，欢迎关注我，跟我一起成长；
【7月新型勒索软件首个样本——Tycoon的分析测评】小白入行网络安全、混迹安全行业找大咖，以及更多成长干货资料，欢迎关注#安界网人才培养计划#、#网络安全在我身边#、@安界人才培养计划。