[原创]通俗易懂讲解-GandCrab勒索病毒加密原理-密码应用-看雪-安全社区|安全招聘|kanxue.com

[原创]通俗易懂讲解-GandCrab勒索病毒加密原理

发表于: 2019-7-14 11:43 16328

[原创]通俗易懂讲解-GandCrab勒索病毒加密原理

AYZRxx

2019-7-14 11:43

16328

笔者根据对“侠盗”勒索病毒V5.3新变种全面剖析 7bfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5i4m8W2M7W2)9J5k6i4y4W2k6h3u0#2k6#2)9J5k6h3!0J5k6#2)9J5c8U0V1I4x3g2)9J5c8R3`.`."这篇文章的自我理解，隐掉一些细节之后，以大白话的方式来阐述GandCrab勒索病毒的加密原理，以及数据为什么无法解密。

1、RSA加密算法是一种非对称加密算法。所谓非对称，就是指该算法需要一对密钥(公私钥)，使用其中一个加密(公钥)，则需要用另一个才能解密(私钥)。

2、Salsa加密算法是一种对称加密算法，加密和解密双方使用相同的密钥，加密后数据长度不变。

关键字解释：关键字根据自己的理解做了稍许改变。

RsaHackerPrivateKey = 病毒作者预先生成的RSA私钥，只有病毒作者知道。

RsaHackerPublicKey = 病毒作者预先生成的RSA公钥，勒索病毒体内嵌的RSA公钥。

SalsaPrivateKey = 随机生成的Key，用于Salsa20加密算法的Key

RsaLocalPrivateKey = 本地随机生成RSA私钥

RsaLocalPublicKey = 本地随机生成RSA公钥

SalsaFileKey = 随机生成的Key，用于Salsa20加密算法的Key。（就是这个Key加密的文件）

SrcUserFile = 待加密的文件数据

Data3 = 加密后的文件数据 = "随机生成的SalsaFileKey" 使用Salsa20算法加密"SrcUserFile"后形成的加密数据

RAS加密函数定义 = typedef RSA(Key，待加密数据 )

Salsa20加密函数定义 = typedef Salsa20(Key，待加密数据 )

1、根据"勒索病毒体内嵌的RSA公钥(RsaHackerPublicKey )"使用RSA算法来加密"随机生成的SalsaPrivateKey"，得到Data1

2、根据"随机生成的SalsaPrivateKey"使用Salsa20算法来加密"本地生成的RSA私钥RsaLocalPrivateKey"，得到Data2

3、根据"本地生成的RSA公钥RsaLocalPublicKey "使用RSA算法来加密"随机生成的SalsaFileKey"，得到Data4

4、根据"随机生成的SalsaFileKey"使用Salsa20算法来加密原始文件，得到Data3

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2019-7-15 20:40 被AYZRxx编辑，原因：

收藏・3

免费・1

支持

最新回复 (10)
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 2 楼是不是？ RSA加密函数定义 = typedef RSA2048(Key, 待加密数据) Salsa20加密函数定义 = typedef Salsa20(Key, 待加密数据) 2019-7-14 21:52 0
AYZRxx 雪币： 2604 活跃值： (954) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 18 粉丝 66 关注私信	AYZRxx 1 3 楼看场雪是不是？ RSA加密函数定义 = typedef RSA2048(Key, 待加密数据) Salsa20加密函数定义 = typedef Salsa20(Key, 待加密数据) 谢谢指正。原文已经修改成正确的了。 2019-7-14 22:50 0
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 4 楼吹毛求疵，还有几个字 RSA加密函数定义 = typedef RSA2048(Key, 待加密数据) ^^^ ^^^^ 最后于 2019-7-15 09:33 被看场雪编辑，原因： 2019-7-15 09:33 0
AYZRxx 雪币： 2604 活跃值： (954) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 18 粉丝 66 关注私信	AYZRxx 1 5 楼看场雪吹毛求疵，还有几个字RSA加密函数定义 = typedef RSA2048(Key, 待加密数据)^^^  & ... 已修改，同属强迫症患者，握个爪....... 2019-7-15 20:42 0
powerpcer 雪币： 117 活跃值： (4122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 100 粉丝 0 关注私信	powerpcer 6 楼這種就妙了, 要求解密的人，作者是要給他private key，哪麼這人只要公開PRIVATE KEY，其它人不就可以拿來用了? 2019-8-2 14:27 0
joker陈雪币： 11638 活跃值： (3605) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 348 粉丝 4 关注私信	joker陈 7 楼 powerpcer 這種就妙了, 要求解密的人，作者是要給他private key，哪麼這人只要公開PRIVATE KEY，其它人不就可以拿來用了? 作者私钥怎么可能给你，给你了还怎么勒索你。详见解密公式1，Data1这个玩意儿你给作者，作者解密后明文的东西给你。 2019-8-2 16:19 0
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 8 楼当支付赎金之后黑客不会把RSAHackerPrivateKey给用户也不会把用户的明文数据发给用户而是会把RSALocalPrivateKey给用户，然后勒索软件在收到这个key之后，会解密用户所有被加密的文件最后于 2019-8-2 18:11 被看场雪编辑，原因： 2019-8-2 18:11 0
nositno 雪币： 1728 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	nositno 9 楼照这种方式来看，作者可以只给你提供一个 SalsaFileKey，解密一个文件，让你相信他有解密的实力。然后当你支付赎金之后他再提供 RSALocalPrivateKey 解密所有 SalsaFileKey，从而解密所有文件。作者可以搞个分层加密，一个局域网用一级密钥，每台电脑用二级密钥，每个文件用三级密钥。在支付赎金的时候可以选择解密一个文件，一台电脑，还是一个局域网。这样中毒之后可以让公司申请团购。 2019-8-13 16:50 0
htg 雪币： 5583 活跃值： (3573) 能力值： ( LV12，RANK：417 ) 在线值：发帖 21 回帖 110 粉丝 19 关注私信	htg 4 10 楼解密文件关键在于RSA加密算法，看来中招就是无解了，除非能破解RSA 2019-8-13 17:53 0
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 11 楼 nositno 照这种方式来看，作者可以只给你提供一个 SalsaFileKey，解密一个文件，让你相信他有解密的实力。然后当你支付赎金之后他再提供 RSALocalPrivateKey 解密所有 SalsaFil ... 一般现在没做那么复杂当作者需要向用户证明他有解密能力时，会让用户选择不超过3个被加密的文件，限制文件大小，且不允许是有价值的文件，发送给作者；作者发还解密后的文件给用户。然后用户就相信了。 2019-8-13 19:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

AYZRxx

发帖

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 2 楼是不是？ RSA加密函数定义 = typedef RSA2048(Key, 待加密数据) Salsa20加密函数定义 = typedef Salsa20(Key, 待加密数据) 2019-7-14 21:52 0
AYZRxx 雪币： 2604 活跃值： (954) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 18 粉丝 66 关注私信	AYZRxx 1 3 楼看场雪是不是？ RSA加密函数定义 = typedef RSA2048(Key, 待加密数据) Salsa20加密函数定义 = typedef Salsa20(Key, 待加密数据) 谢谢指正。原文已经修改成正确的了。 2019-7-14 22:50 0
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 4 楼吹毛求疵，还有几个字 RSA加密函数定义 = typedef RSA2048(Key, 待加密数据) ^^^ ^^^^ 最后于 2019-7-15 09:33 被看场雪编辑，原因： 2019-7-15 09:33 0
AYZRxx 雪币： 2604 活跃值： (954) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 18 粉丝 66 关注私信	AYZRxx 1 5 楼看场雪吹毛求疵，还有几个字RSA加密函数定义 = typedef RSA2048(Key, 待加密数据)^^^  & ... 已修改，同属强迫症患者，握个爪....... 2019-7-15 20:42 0
powerpcer 雪币： 117 活跃值： (4122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 100 粉丝 0 关注私信	powerpcer 6 楼這種就妙了, 要求解密的人，作者是要給他private key，哪麼這人只要公開PRIVATE KEY，其它人不就可以拿來用了? 2019-8-2 14:27 0
joker陈雪币： 11638 活跃值： (3605) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 348 粉丝 4 关注私信	joker陈 7 楼 powerpcer 這種就妙了, 要求解密的人，作者是要給他private key，哪麼這人只要公開PRIVATE KEY，其它人不就可以拿來用了? 作者私钥怎么可能给你，给你了还怎么勒索你。详见解密公式1，Data1这个玩意儿你给作者，作者解密后明文的东西给你。 2019-8-2 16:19 0
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 8 楼当支付赎金之后黑客不会把RSAHackerPrivateKey给用户也不会把用户的明文数据发给用户而是会把RSALocalPrivateKey给用户，然后勒索软件在收到这个key之后，会解密用户所有被加密的文件最后于 2019-8-2 18:11 被看场雪编辑，原因： 2019-8-2 18:11 0
nositno 雪币： 1728 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	nositno 9 楼照这种方式来看，作者可以只给你提供一个 SalsaFileKey，解密一个文件，让你相信他有解密的实力。然后当你支付赎金之后他再提供 RSALocalPrivateKey 解密所有 SalsaFileKey，从而解密所有文件。作者可以搞个分层加密，一个局域网用一级密钥，每台电脑用二级密钥，每个文件用三级密钥。在支付赎金的时候可以选择解密一个文件，一台电脑，还是一个局域网。这样中毒之后可以让公司申请团购。 2019-8-13 16:50 0
htg 雪币： 5583 活跃值： (3573) 能力值： ( LV12，RANK：417 ) 在线值：发帖 21 回帖 110 粉丝 19 关注私信	htg 4 10 楼解密文件关键在于RSA加密算法，看来中招就是无解了，除非能破解RSA 2019-8-13 17:53 0
看场雪雪币： 10846 活跃值： (1094) 能力值： (RANK：190 ) 在线值：发帖 17 回帖 206 粉丝 30 关注私信	看场雪 3 11 楼 nositno 照这种方式来看，作者可以只给你提供一个 SalsaFileKey，解密一个文件，让你相信他有解密的实力。然后当你支付赎金之后他再提供 RSALocalPrivateKey 解密所有 SalsaFil ... 一般现在没做那么复杂当作者需要向用户证明他有解密能力时，会让用户选择不超过3个被加密的文件，限制文件大小，且不允许是有价值的文件，发送给作者；作者发还解密后的文件给用户。然后用户就相信了。 2019-8-13 19:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复