如何對抗史上殺傷力最強的勒索軟體「Zenis」

最近，史上殺傷力最強的勒索軟體「Zenis」出現，不僅加密文件還會刪除你的備份。

Zenis與其他加密常見文件的勒索病毒不同，該病毒運行後，會對設備中超過200種格式的文件進行加密，另外非系統盤符下的所有格式文件也都將被鎖，就連exe可執行程序都不會放過。同時，病毒還會刪除系統中的備份文件，以避免中招用戶恢復重要數據，可謂所過之處，寸草不生。

儘管目前還不清楚Zenis如何傳播，但多名受害者已經感染了這種勒索軟體。根據MalwareHunterTeam找到一個樣本，研究人員發現Zenis採用了一種自定義的加密方法來加密受害者文件，這種方法基於AES加密演算法，

雖然目前還無法解密Zenis加密文件，但安全研究員Michael Gillespie已經找到了勒索軟體的破解之道。因此，如果你感染了Zenis，請不要支付贖金。

Zenis如何加密計算機

如前所述，雖然研究人員不知道Zenis如何傳播，但基於綜合資料分析，它大概是通過被黑客入侵的遠程桌面服務來傳播的。

當執行加密時，Zenis將執行兩次檢查，看它是否應該開始對計算機進行加密。第一個檢查是查看執行的文件是否被命名為iis_agent32.exe，此檢查不區分大小寫。另一項檢查是查看是否存在稱為HKEY_CURRENT_USERSOFTWAREenisService "Active"的註冊表值。

如果該註冊表值存在或文件未被命名為iis_agent32.exe，則它將終止該進程並且不加密該計算機。

如果通過了檢查，Zenis就會開始通過填寫一些信息（如電子郵件和加密數據）來創建勒索提示信息。

完成後，Zenis將執行以下命令來刪除卷影副本，禁用啟動修復和清除事件日誌。

cmd.exe /C vssadmin.exe delete shadows /all /Quietcmd.exe /C WMIC.exe shadowcopy delete cmd.exe /C Bcdedit.exe /set recoveryenabled no cmd.exe /C Bcdedit.exe /set bootstatuspolicy ignoreallfailures cmd.exe /C wevtutil.exe cl Application cmd.exe /C wevtutil.exe cl Security cmd.exe /C wevtutil.exe cl System"

不過這並不算完，Zenis將搜索各種進程並終止它們。這些進程包括：

sqltaskmgrregeditbackup

在完成以上所有準備工作之後，Zenis將開始加密計算機上的文件。它通過掃描計算機上的驅動器來查找具有特定擴展名的文件。如果它找到與下列擴展名匹配的文件，它將使用每個文件的不同AES密鑰對其進行加密。

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

在加密文件時，Zenis會採取「[Zenis-]+[2個隨機字元] +[.]+[12個隨機字元]」的格式對文件進行重命名。例如，test.jpg在被加密後，文件名將變更為類似「Zenis-4Q.4QDV9txVRGh4」這樣的命名。被加密文件的原始文件名和AES密鑰將被加密並保存到文件的末尾。

在查找要加密的文件時，如果Zenis找到與備份文件相關的文件，它將覆蓋它們三次，然後刪除它們，這是為了讓受害者恢復備份文件時更加困難。

要刪除的擴展名列表如下：

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm

病毒生成的勒索頁面中包含一個隱藏的Base64編碼的字元串，該字元串實際就是經攻擊者加密過的解密私鑰。當受害者繳納贖金後，攻擊者就可以提供解密私鑰或為受害者創建一個解密器。

如前所述，這個勒索軟體目前還是有自己的漏洞，所以請不先要支付贖金。

如何保護自己免受Zenis的攻擊

1.為了保護自己免受Zenis的攻擊，一定要有的計算機使用習慣，比如安裝安全軟體。

2.由於Zenis勒索病毒加密格式多樣，且會覆蓋多次並刪除備份相關的文件，一些PE格式的文件及一些常用軟體的數據文件被加密或被刪除後可能會出現無法正常運行的情況。因此加強帳戶保護也很重要，這樣就可以使帳戶難以被通過遠程桌面的服務強制執行。具體方法有：修改為較強的密碼，修改默認的3389埠，伺服器打最新的補丁，啟用網路身份驗證NLA。

3.重要的事情說三遍：備份，備份，備份！由於Zenis可能通過黑客入侵的遠程桌面服務進行安裝，因此確保備份被正確保存就非常重要。比如，確保運行遠程桌面服務的計算機沒有直接連接到互聯網。

你應始終擁有可靠且經過安全測試的數據備份，以備在緊急情況下可以恢復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！