habibkaratas/sorry-ransomware-analysis

# Sorry 勒索软件分析（CVE-2026-41940 cPanel 攻击活动） 针对 2026 年 4 月下旬出现并通过 cPanel/WHM 身份验证绕过漏洞 **CVE-2026-41940** 传播的 **"Sorry"** 勒索软件（`.sorry` 扩展名）家族的公开 IOC 包、YARA 规则、取证脚本及分析方法论。 📝 完整技术分析文章（土耳其语）：_链接将在发布后添加_ ## 仓库内容 | 路径 | 用途 | |---|---| | `docs/IOC.md` | 所有失陷指标（加密文件、网络、主机） | | `docs/analysis_methodology.md` | 分析过程——完全可复现 | | `yara/sorry_ransomware.yar` | 针对加密文件和勒索信的 YARA 规则 | | `iocs/hashes.txt` | 活动级别和结构前缀哈希值 | | `iocs/network.txt` | Tox ID、CVE 信息、网络 IOC | | `iocs/file_signatures.txt` | 加密文件结构签名 | | `scripts/analyze.py` | 单样本熵值/结构分析 | | `scripts/header_parse.py` | 解析 2057 字节的固定头部 | | `scripts/keystream_test.py` | ChaCha20 密钥流重用/已知明文测试 | | `scripts/server_collection.sh` | 用于被入侵 cPanel 主机的只读取证工件收集器 | ## 基本情况 - **CVE：** CVE-2026-41940（cPanel/WHM CRLF 身份验证绕过，CVSS 9.8） - **加密程序：** Linux ELF，使用 Go 编写 - **加密算法：** ChaCha20（每个文件具有唯一 nonce）+ RSA-2048 密钥封装 - **扩展名：** 在原文件名后追加 `.sorry` - **勒索信：** 每个被加密目录下的 `README.md` - **谈判方式：** 仅通过 Tox，使用单一的活动级 ID - **被入侵 IP 数量：** 44,000+（Shadowserver 数据） ## 加密文件结构 ``` ┌─────────────────────────────────────────────────────────┐ │ Offset 0x000 - 0x808 (2057 bytes) FIXED PREFIX │ │ • Magic: 99 00 00 08 00 21 CA 68 0C BD 7F 19 ... │ │ • RSA-2048 wrapped per-victim master key + metadata │ │ • Tail marker @ 0x800: F4 0B 00 B4 27 00 00 01 00 │ ├─────────────────────────────────────────────────────────┤ │ Offset 0x809 - (EOF-4) CIPHERTEXT │ │ • ChaCha20 stream-encrypted original data │ │ • Length is NOT 16-aligned (mod16 ∈ {2,4,8,13}) │ │ • Shannon entropy ~7.95 bits/byte │ ├─────────────────────────────────────────────────────────┤ │ Last 4 bytes: 00 00 00 00 STATIC FOOTER │ └─────────────────────────────────────────────────────────┘ ``` ## 用法 ``` # 使用 YARA rule 扫描目录 yara -r yara/sorry_ransomware.yar /path/to/scan # 对本地样本运行分析 python3 scripts/analyze.py /path/to/sample.sorry # 从受感染的 cPanel 主机收集 forensic artefacts (只读) bash scripts/server_collection.sh ``` ## 解密可能性 **无。** 我们测试了所有常见的实现缺陷： | 测试项 | 结果 | |---|---| | 密文两两 XOR（密钥流/nonce 重用） | ❌ 无重用 | | 已知明文密钥流恢复 → 跨文件解密 | ❌ 失败 | | 头部中嵌入明文密钥/弱随机数生成器标记 | ❌ 未发现 | | 填充预言 | ❌ 不适用（流密码） | 该加密算法实现正确。只有运营者的 RSA-2048 私钥才能解密这些文件。请持续关注 [NoMoreRansom](https://www.nomoreransom.org/) 和 [ID-Ransomware](https://id-ransomware.malwarehunterteam.com/)，以防执法部门查获运营者的密钥。 ## 负责任的披露声明 本仓库包含： - 从真实的加密样本中提取的静态分析 IOC（已匿名化） - 用于防御的 YARA 检测规则 - 只读的取证收集脚本 本仓库**不**包含： - 勒索软件二进制文件 - 针对 CVE-2026-41940 的漏洞利用工具 - 解密代码（加密算法实现正确） ## 许可证 - 代码：[MIT](LICENSE) - 文档：[CC BY 4.0](docs/LICENSE) ## 贡献 欢迎提交 PR —— 详见 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 参考链接 - [BleepingComputer — Critical cPanel flaw mass-exploited in "Sorry" ransomware attacks](https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/) - [NVD — CVE-2026-41940](https://nvd.nist.gov/vuln/detail/CVE-2026-41940) - [Rapid7 — ETR: cPanel & WHM Authentication Bypass](https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/) - [watchTowr Labs — The Internet Is Falling Down](https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/) - [CISA KEV — CVE-2026-41940](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-41940) - [Public PoC — ynsmroztas/cPanelSniper](https://github.com/ynsmroztas/cPanelSniper)

标签：Bash, ChaCha20, CISA项目, cPanel, CRLF注入, CVE-2026-41940, DAST, DNS信息、DNS暴力破解, DNS 反向解析, ELF恶意软件, Go语言, IOC, Python, RSA-2048, Shadowserver, WHM, YARA规则, 加密算法, 勒索软件, 失陷标示, 威胁情报, 子域名变形, 安全漏洞, 安全脚本, 密钥流重用, 已知明文攻击, 库, 应急响应, 应用安全, 开发者工具, 恶意软件分析, 数字取证, 无后门, 漏洞分析, 程序破解, 网络安全, 自动化脚本, 路径探测, 身份验证绕过, 逆向工具, 隐私保护