内容简介:背景概述近日,深信服安全团队检测到一种新的勒索病毒正在活跃,攻击者针对制造行业、医疗行业等目标,通过社会工程、RDP远程爆破等方式手动投放勒索病毒,且进行加密后会人工删除勒索病毒体和入侵日志。该勒索病毒加密后会修改文件后缀为大写的随机[10-12]个英文字母,使用RAS+AES算法加密文件,并释放勒索信息文件,运行后会进行自复制,但通常情况下复制体会被攻击者手动删除。深信服安全团队将该勒索病毒命名为Attention勒索病毒,并进行了详细的分析。
背景概述
近日,深信服安全团队检测到一种新的勒索病毒正在活跃,攻击者针对制造行业、医疗行业等目标,通过社会工程、RDP远程爆破等方式手动投放勒索病毒,且进行加密后会人工删除勒索病毒体和入侵日志。
该勒索病毒加密后会修改文件后缀为大写的随机[10-12]个英文字母,使用RAS+AES算法加密文件,并释放勒索信息文件,运行后会进行自复制,但通常情况下复制体会被攻击者手动删除。深信服安全团队将该勒索病毒命名为Attention勒索病毒,并进行了详细的分析。
勒索特征
1.勒索信息文件YOUR FILES ARE ENCRYPTED.TXT,如下所示:
2.加密后的文件后缀为大写字母的随机[10-12]个英文字母,前三个字母相同,如下所示:
详细分析
1.在%temp%目录下生成随机的文件B3A9A362.ghost,然后将00写入到文件中,如下所示:
2.然后查找并删除B3A9A362.ghost,如下所示:
3.拷贝自身到C:\Users\panda\AppData\Roaming\Microsoft\Windows目录下ctfmon.exe,如下所示:
4.然后通过ShellExecute调用拷贝的ctfmon.exe程序,执行勒索加密操作,如下所示:
5.自删除原文件,如下所示:
调用的参数,如下所示:
"/c for /l %x in (1,1,666) do ( ping -n 3 127.1 & del "C:\Users\panda\Desktop\Ransomware1.exe" & if not exist "C:\Users\panda\Desktop\Ransomware1.exe" exit )"
6.生成勒索密钥相关信息,如下所示:
然后将密钥信息保存到注册表HKEY_CURRENT_USER\Software\Ghost\Service中,如下所示:
7.遍历网络共享目录,如下所示:
8.遍历磁盘目录,如下所示:
9.在内存中解密出勒索信息文本文件,如下所示:
10.在内存中解密出不加密的文件目录,如下所示:
不加密的文件目录列表,如下所示:
ALLUSERPROFILE、APPDATA、WINDIR等。
11.内存解密出各种不加密的文件目录,以及文件名或相关的后缀名,如下所示:
不加密的文件名列表,如下所示:
boot.ini;bootfont.bin;bootsect.bak;desktop.ini;defender.exe;iconcache.db;master.exe;master.dat;ntdetect.com;ntldr;ntuser.dat;ntuser.data.log;ntuser.ini;temp.txt;thumbs.db;unlock.exe;unlocker.exe;YOUR FILES ARE ENCRYPTED.TXT;
不加密的文件目录,包含如下字符串列表,如下所示:
.rome\;\Mozilla Firefox\;\Mozilla\;\Opera Software\;\Opera\;\Tor Browser\; \Common Files\;\Internet Explorer\;\Windows Defender\;\Window Mail\; \Windows Media Player\;\Windows Multimedia Platform\;Windows NT\; \Windows Photo Viewer\;\Windows Security\;\Embedded Lockdown Manger\; \Windows Journal\;\MSBuild\;\Reference Assemblies\;\Windows Sidebar\; \Windows Defender Advanced Threat Protection\;\Microsoft\;\Package Cache\;\Microsoft Help\;
不加密的文件后缀名列表,如下所示:
.bat;.cmd;.com;.cpl;.dll;.lnk;.msc;.msp;.pif;.scr;.sys;.ghost;
12.遍历目录文件,如下所示:
13.加密符合条件的文件,如下所示:
先读取文件内容,然后进行加密操作,如下所示:
加密后的文件后缀名为随机的[10-12]个英文字母,如下所示:
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 后摩尔时代,半导体的新战场与新机会
- 阿里巴巴宣布成立半导体公司,要自主研发芯片
- 从算力到半导体供应链,硬件如何决定机器学习的研究趋势
- 华大半导体领投安路科技C轮融资,助力国产FPGA加速发展
- 索尼半导体解决方案公司收购网络虚拟化技术开发商Mido控股公司
- 开源让半导体成了大路货,小米格力们的自研有哪些逢场作戏?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Sovereign Individual
James Dale Davidson、William Rees-Mogg / Free Press / 1999-08-26 / USD 16.00
Two renowned investment advisors and authors of the bestseller The Great Reckoning bring to light both currents of disaster and the potential for prosperity and renewal in the face of radical changes ......一起来看看 《The Sovereign Individual》 这本书的介绍吧!
