标签: 勒索病毒

2019 勒索病毒专题报告

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/DzfUlKXkkMuBJS0UrdboSw   一、概述 勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。 勒索病毒攻击2019典型事件 2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。 2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。 2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。 2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。 2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。 2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。 2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。 2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。 二、2019年勒索病毒特点总结 1.老牌勒索家族转向精准化,高质量的狩猎行动 观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。 企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。 2.威胁公开机密数据成勒索攻击新手段 勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。 付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。 2019年,勒索病毒团伙开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w人民币),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。 当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。 Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。 3.僵尸网络与勒索病毒相互勾结 僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。 A.Emotet僵尸网络伙同Ryuk实施勒索 Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。 B.Phorpiex僵尸网络伙同Nemty实施勒索 Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。 C.Phorpiex僵尸网络伙同GandCrab实施的勒索 GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。 D.Phorpiex僵尸网络群发勒索恐吓邮件 你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。 4.丧心病狂的反复加密,文件名加密 腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。 同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。 5.中文定制化 中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。 三、2019年勒索病毒攻击数据盘点 2019年,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。 从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。 加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。 观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。 2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。   四、2019年国内勒索病毒活跃TOP榜 观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。 其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。 GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。 紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。 Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。 GlobeImposter GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。 Crysis Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。 GandCrab GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。 2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。 2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。 2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。 Sodinokibi Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。 Stop Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。 1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能; 2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站; 3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口; 4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制; 5.下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码; Paradise Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索说明文档。 Maze Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。 Nemty NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。 Medusalocker Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。 Ryuk Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。 五、勒索病毒接下来会怎样 1、勒索病毒与安全软件的对抗加剧 随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。 2、勒索病毒传播场景多样化 过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应链传播,都大大提高了入侵成功率。 3、勒索病毒攻击目标转向企业用户 个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。 4、勒索病毒更新迭代加快 随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。 5、勒索赎金定制化,赎金进一步提高 随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。 6、勒索病毒开发门槛降低 观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。 例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1989”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。 7、勒索病毒产业化加剧 随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。 8、勒索病毒多平台扩散 目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。 9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大 GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。 随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。 六、勒索病毒防范措施 企业用户可参考以下措施加强防御 A、定期进行安全培训,日常安全管理可参考“三不三要”思路 1.不上钩:标题吸引人的未知邮件不要点开 2.不打开:不随便打开电子邮件附件 3.不点击:不随意点击电子邮件中附带网址 4.要备份:重要资料要备份 5.要确认:开启电子邮件前确认发件人可信 6.要更新:系统补丁/安全软件病毒库保持实时更新 B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。 C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。 D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。 E、使用内网强制密码安全策略来避免使用简单密码。 1.一些关键服务,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。 2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。 F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。 G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。 H、做好安全灾备方案,可按数据备份三二一原则来指导实施 1.至少准备三份:重要数据备份两份 2.两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等 3.一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。 个人消费者可使用安全防护软件 腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。  

NEMTY 勒索病毒 V1.6 变种节日期间高发,企业用户须小心防范

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/iJ_xP70Ft4JTkl4_7qx-zw   一、概述 腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂难以解密,我们提醒各企业提高警惕。 NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。从该变种的感染数据看,国庆期间有明显上升。 主要受害地区为江苏、辽宁、河南等省。 NEMTY勒索病毒v1.6变种的主要特点: 会检查感染痕迹,已被感染的系统,不会二次感染; 病毒有感染白名单国家,俄罗斯、白俄罗斯、乌克兰及多个中亚国家不感染; 病毒加密文件前会结束若干个数据库软件、Office程序的进程,停止相关服务,使加密文件时避免文件锁定而中止; 病毒会添加计划任务来自动运行; 加密白名单中的文件或文件夹不会被加密; 病毒会删除磁盘卷影信息,避免用户通过这些信息恢复数据; 被加密的文件后辍为“_NEMTY_randome_7位随机字符串_” 二、详细分析 NEMTY勒索病毒v1.6变种外壳程序在内存中解密出勒索payload进一步执行,外壳最终解密方式为使用硬编码的字串循环异或 病毒运行后首先检查自身互斥体,注册表信息,当机器已经被感染过,则不再进行二次感染,使用互斥体为just_a_game 随后获取感染环境ip,国家,用户名,机器名,系统版本,GUID,解密出硬编码的rsa公钥信息,硬盘信息,加密扩展后缀信息等然后上报。在此过程中,会对当前感染的国家进白名单判定,以便在后续加密过程中对白名单国家进行放行,过程中涉及的大部分字串以Base64+RC4加密存放。 ip获取接口: http://api.ipify.org 国家获取接口: http://api.db-ip.com/v2/free/xxx.xxx.xxx.xxx/countryName 信息上报接口: https://nemty.hk/public/gate?data= 白名单国家列表: Russia(俄罗斯)、Belarus(白俄罗斯)、Kazakhstan(哈萨克斯坦)、Tajikistan(塔吉克斯坦)、Ukraine(乌克兰)、Azerbaijan(阿塞拜疆)、Armenia(亚美利亚)、Kyrgyzstan(吉尔吉斯坦)、Moldova(摩尔多瓦) 病毒执行过程中使用到的部分字串使用Base64解码+RC4解密,RC4-KEY:fuckav。 病毒加密前会在本地生成rsa密钥对,随后会将生成的公钥和硬编码的rsa公钥一同导入,硬编码公钥用于加密本地生成的rsa密钥信息,AES文件加密密钥将被本地生成的rsa公钥加密。 加密文件前结束进程名中包含以下关键字的进程: Sql Winword Wordpad Outlook Thunderbird Oracle Excel Onenote Virtualboxvm Node QBW32 WBGX Teams Flow 停止以下相关服务: DbxSvc OracleXETNSListener OracleServiceXE AcrSch2Svc AcronisAgent Apache2.4 SQLWriter MSSQL$SQLEXPRESS MSSQLServerADHelper100 MongoDB SQLAgent$SQLEXPRESS SQLBrowser CobianBackup11 cbVSCService11 QBCFMontorService QBVSS 将自身拷贝至user目录并设置计划任务 删除卷影信息 加密前避开以下白名单文件、目录 v1.6版本变种主要更新了密钥生成算法,较老版本相比新增了获取当前进程数进行随机干扰 v1.6版本文件加密使用AES-ECB进行加密,加密使用WinCryptAPI,密钥为生成的0x20字节的随机值计算sha256所得。 老版本密钥生成算法相对简单,文件加密使用修改过的AES-CBC模式,Key全局生成1次,IV对每个文件单独生成。 文件被加密后被添加_NEMTY_randome_随机7位字符串_扩展后缀 生成加密扩展名_NEMTY_random_-DECRYPT.txt的勒索说明文档,文档标题可看出病毒已更新至v1.6版本。 三、安全建议 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件和网页挂马传播,需要企业用户小心处理电子邮件。及时升级操作系统补丁,避免因浏览器漏洞而导致网页挂马攻击发生; 2. 对重要文件和数据(数据库等数据)进行定期非本地备份,普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家拦截病毒。 3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; IOCs MD5: 3e6672a68447e4e7c297e4dd7171b906 6c05aa998d0523f2855769bd30b2d0d1

Buran 勒索病毒传入我国,用户宜小心处理不明邮件

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/jm7Q9JvsdUzfv5xELXMJ9Q 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 一、概述 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 根据腾讯安全御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,腾讯安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。 二、详细分析 1、word附件 用户打开word文档,恶意宏代码会从hxxp://54.39.233.131/word1.tmp处下载勒索病毒到C:/Windows/Temp/sdfsd2f.rry运行,word文档内容、宏代码如下图: 2、勒索病毒样本(sdfsd2f.rry) 使用WinInet函数访问geoiptool.com、iplogger.com地址获取受害机的IP地址信息; 调用cmd程序复制样本到C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe,并置注册表run键开机启动; 使用ShellExecuteW( )函数,参数”C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe” -start启动样本; 调用cmd程序删除sdfsd2f.rry样本; 3、lsass.exe进程 调用cmd程序禁用系统自动修复功能、删除系统备份、删除RDP连接历史记录、清空Application、Security、System日志,关闭日志服务开机启动; 注册表保存公钥key、受害机id; 再次创建lsass.exe进程,参数C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe -agent 1,遍历磁盘文件,加密用户数据; 为每一个文件生成256位key,使用AES-256-CBC加密文件; 生成密钥对RSA-512,公钥用来加密256位key,内容存放到文件中; 私钥被注册表中的RSA公钥加密存放文件中; 以下后缀名文件会被跳过; 文件开头写入“BURAN”标志,防止文件被重复加密; 文件内容被加密后,使用代表受害机ID的后缀重命名文件; 生成勒索信息 弹出勒索信息; 调用cmd程序删除lsass.exe样本; 国外论坛某用户花了3000$才恢复了所有数据; 三、安全建议 企业用户针对该病毒的重点防御措施: 1、对重要文件和数据(数据库等数据)进行定期非本地备份,可启用腾讯电脑管家或腾讯御点内置的文档守护者功能,利用磁盘冗余空间自动备份文档; 2、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。   企业用户通用的防病毒扩散方法: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 6、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。   个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; 3、 使用腾讯电脑管家查杀拦截该病毒。 IOC MD5: 4ac964a4a791864163476f640e460e41 f9190f9c9e1f9a8bd61f773be341ab91 328690b99a3fc5f0f2a98aa918d71faa f4cb791863f346416de39b0b254e7c5e cfab38b5c12a8abcbdadfc1f5ac5c37d 99837e301d8af9560a4e6df01a81dc39 IP: 54.39.233.131 URL: hxxp://54.39.233.131/word1.tmp

新勒索病毒 Ouroboros 来袭,多地医疗、电力系统受攻击

感谢腾讯御见威胁情报中心来稿! 原文: https://mp.weixin.qq.com/s/A3JYdC0dNze29v2W0xe1RA   一、概述 腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播,监测数据表明,已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现,该病毒的破坏仅在部分有限的情况可解密恢复,但在病毒按预期运行,基础设施完善情况下,暂无法解密。 Ouroboros勒索病毒首次出现于2019年8月中旬,目前发现其主要通过垃圾邮件渠道传播,由于其PDB路径中包含Ouroboros故因此得名,该病毒加密文件后会添加.Lazarus扩展后缀。 腾讯安全提醒各政企机构提高警惕,避免打开来历不明的邮件,腾讯电脑管家或腾讯御点终端安全管理系统可以查杀该病毒。 Ouroboros勒索病毒受害者的求助贴 Ouroboros勒索病毒的主要特点: 1.病毒会删除硬盘卷影副本; 2.部分样本会禁用任务管理器; 3.病毒加密前会结束若干个数据库软件的进程,加密文件时会避免加密Windows,eScan等文件夹; 4.个别情况下,该病毒的加密可以解密。在病毒按预期运行,基础设施完善情况下,暂无法解密; 5.攻击者弹出勒索消息,要求受害者通过电子邮件联系后完成交易。 二、分析 Ouroboros勒索病毒通常使用外壳程序来进行伪装,通过内存可Dump出勒索payload 查看勒索payload可知其PDB,根据PDB文件名,将该病毒命名为Ouroboros勒索病毒。 病毒运行后首先使用PowerShell命令行删除卷影 部分样本还会同时禁用任务管理器 首先获取本机的IP,磁盘信息,随机生成的文件加密Key信息,使用的邮箱信息进行上报 获取本机IP服务接口:hxxp://www.sfml-dev.org/ip-provider.php 病毒接收请求服务器IP:176.31.68.30   随后对服务器返回结果进行判断是否正常,当服务接口失活情况则拷贝一个硬编码密钥NC1uv734hfl8948hflgGcMaKLyWTx9H进行备用 加密前结束数据库相关进程列表: sqlserver.exe msftesql.exe sqlagent.exe sqlbrowser.exe sqlwriter.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe 加密时避开以下关键词目录和文件: Windows eScan !Qhlogs Info.txt   硬编码的加密IV:1096644664328666 使用硬编码密钥KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H进行AES文件加密   加密后如果为大文件则向后移动文件指针0xDBBA0处继续加密0x15F90字节大小内容   文件被加密为原始文件名.[ID=random][Mail=勒索邮箱号].Lazarus   例如如下图中“安装说明.txt”文件被加密为“安装说明.txt.[ID=40BjcX1Eb2][Mail=unlockme123@protonmail.com].Lazarus”   由于当前分析病毒版本接口未返回有效信息,病毒使用离线密钥进行加密,所以可以尝试对文件进行解密,编写测试demo可将上述“安装说明.txt”成功解密出原始内容。但由于在该病毒基础设施完善情况下,病毒攻击过程中使密钥获取困难,故该病毒的解密不容乐观。   病毒同时会留下名为Read-Me-Now.txt的勒索说明文档,要求联系指定邮箱购买解密工具     同时在ProgramData目录释放执行uiapp.exe弹出勒索说明窗口进一步提示勒索信息。   三、安全建议 企业用户: 针对该病毒的重点防御方案: 1.针对该勒索病毒主要通过电子邮件传播的特点,建议企业对员工加强安全意识教育,避免点击下载邮件附件。使用MS Office的用户,应尽量避免启用宏功能,除非该文档来源可靠可信。 2.使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒,并启用文档守护者功能备份重要文档。 3.企业用户可以使用腾讯御界高级威胁检测系统,御界系统发现可疑邮件,并将可疑邮件的附件通过沙箱分析。在本案例中,御界系统的沙箱功能,分析出危险附件具有可疑的加密敲诈行为。 通用的安全措施: 1.企业内网可以关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。   7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: 87283fcc4ac3fce09faccb75e945364c e17c681354771b875301fa30396b0835 感染信息上报IP: 176.31.68.30 勒索邮箱: Helpcrypt1@tutanota.com unlockme123@protonmail.com dadacrc@protonmail.ch Steven77xx@protonmail.com 离线情况AES密钥: KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H IV:1096644664328666

当心!勒索病毒 WannaCry 仍然潜藏在世界各地的电脑上

讯 12月27日下午消息,据台湾地区科技媒体iThome报道,安全公司Kryptos Logic中负责安全与威胁情报研究的Jamie Hankins上周在Twitter上表示,造成全球重大经济损失的勒索病毒WannaCry,至今仍然潜藏在世界各地的电脑上。 WannaCry利用EternalBlue攻击工具对微软Windows操作系统的服务器信息区块(SMB)漏洞展开攻击,而EternalBlue为美国国家安全局(NSA)所开发。 2017年5月12日,WannaCry在欧洲市场率先发难,加密被黑电脑上的文件并勒索赎金,并能主动侦测及入侵网络上其他有漏洞的设备,因此在短短的两天内,便在全球超过150个国家迅速感染了数十万台电脑。此外,今年造成台积电大规模停产的元凶也是WannaCry的变种。 减缓WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人员Marcus Hutchins,他发现了WannaCry的勒索元件有一个“销毁”机制,即WannaCry会连至一个网络域名。如果WannaCry未发现该域名则加密电脑文件。换而言之,如果WannaCry连接到了该网络域名,则不会加密受感染电脑上的文件。 幸运的是,该域名竟然没人注册,随后Hutchins便注册了该域名,维持该域名的运作,成功阻止了WannaCry的勒索能力。 目前此一用来支撑“销毁”机制的域名由Cloudflare负责维护,有鉴于那些已感染WannaCry的电脑还是会定期连接到“销毁”域名,这让Kryptos Logic得以持续观察感染情况。 根据Jamie Hankins12月21日在Twitter上张贴的数据,他们当天的前24小时侦测到184个国家的22万个独立IP超过270万次连结到该“销毁”域名,前一周则有来自194个国家的63万个独立IP超过1700万次连结到该“销毁”域名。 不过,Hankins也说明这些独立IP无法代表实际的感染数量,只是这样的流量仍然很惊人。前五大流量来自中国、印尼、越南、印度及俄罗斯。 依然潜伏在电脑中的WannaCry还是有爆发的风险,例如一旦网络断线,或是无法连接“销毁”域名,WannaCry的勒索元件就会再度执行。 企业或者用户可通过Kryptos Logic免费提供的Telltale服务来侦测电脑上包括WannaCry在内的安全威胁。   稿源:,稿件以及封面源自网络;

勒索病毒源头乌克兰公司服务器遭警方没收

据外媒报道,乌克兰警方于本月 4 日没收了该国一家会计软件公司的服务器,因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。 乌克兰网络警察局长沙希利-德梅德尤克(Serhiy Demedyuk)称,为了调查上周发生的肆虐全球的勒索病毒攻击案,警方没收了乌克兰最流行会计软件开发公司 M.E.Doc 的服务器。目前,警方还在调查谁是真正的幕后黑手。乌克兰情报官员和安全公司声称,最初的一些勒索病毒是通过 M.E.Doc 公司发布的恶意升级程序传播的。对此,该公司予以了否认。 在警方没收 M.E.Doc 公司的服务器前,网络安全调查员已于近期找出了新的证据,证明此次勒索病毒攻击活动是一些高级黑客提前好几个月策划的结果。这些黑客将病毒插入到了 M.E.Doc 公司的会计软件中。乌克兰在本周二将其纳税日期推迟了一个月,以帮助被勒索病毒攻击的企业渡过难关。 稿源:腾讯科技,封面源自网络

全球 WanaCrypt 勒索软件影响情况报道汇总 05-17

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 勒索病毒蔓延 钱包安否 ? 金融机构业务暂未受影响 WannaCry 新型 “ 蠕虫 ” 式勒索病毒于 5 月 12 日爆发后,包括银行、券商在内的金融机构采取多种措施防范风险。目前,相关部门表示业务正常运行,尚未出现病毒感染案例。国家网络与信息安全信息通报中心关于勒索病毒出现新变种的紧急通报称,WannaCry 勒索病毒可能出现多种变种,建议网民尽快升级安装 Windows 操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。 宁夏银川受勒索病毒攻击 交管多项服务受影响  勒索病毒 WannaCry 全球爆发,致使宁夏银川市交管部门的多项民生服务纷纷受到影响。调查显示,宁夏银川市车管所除驾驶证科目一考试,以及一部分上周排期的科目三道路考试外,其他车辆注册登记、驾驶员考试以及驾驶证年审等车辆管理和驾驶人管理的业务均已暂停。随后,银川市紧急对全市交警系统进行紧急排查,发现 8 台机器感染病毒。目前,交警部门已对感染机器完全隔离并对其系统进行格式化处理。   【国际动态】 数字惊人:勒索病毒或致全球损失 550 亿元  WannaCry 病毒席卷全球,其攻击者利用 NSA 黑客工具包中的 “ 永恒之蓝 ” 零日漏洞通过 445 端口(文件共享)在内网进行蠕虫式感染传播,如果用户没有及时安装 Windows 补丁,该病毒基本处于无解状态。据追踪比特币非法使用情况的伦敦公司 Elliptic Enterprises 称,用户目前共计向黑客支付约 34 万元赎金,远低于预期。然而,这仅是冰山一角,硅谷网络风险建模公司 Cyence 表示,此次网络攻击造成的全球电脑死机直接成本总计约 80 亿美元(约合人民币 550 亿元)。 狩猎行动:全球多个机构开始追踪 WannaCry 的始作俑者  全球范围内爆发的 WannaCry 蠕虫勒索病毒是迄今为止感染规模最大的勒索软件攻击事件。其受害者遍布全球 150 多个国家和地区并且包含大量的个人和企业甚至是医院和政府办公部门等事业性机构。目前多个国家的政府部门和安全机构正在调查这次攻击事件并开始追踪 WannaCry 勒索病毒背后的始作俑者。国际协调委员会正与欧洲刑警组织以及美国司法部的联邦调查局等机构一道努力进行调查。 美国国家安全局回应微软指责:我们不是勒索病毒来源  5 月 16 日,微软指责美国国家安全局 ( NSA ) 是全球勒索病毒的发源地。随后,NSA 做出回应:勒索赎金的代码并非由 NSA 的工具开发。这种工具是由犯罪分子开发的,也就是潜在的罪犯或境外国家。据悉, WannaCry 恶意程序已感染 150 个国家的超过 20 万部机器,该恶意程序雏形来自美国国家安全局,于今年四月被盗。 勒索软件引英国党派口水仗:传播放缓威胁仍存  全球范围内大规模爆发的 WannaCry 蠕虫勒索病毒网络攻击事件截至目前已有至少 150 个国家数十万用户受到攻击。欧洲刑警组织表示,勒索软件的传播速度相比此前有所放缓,不过依旧不能放松警惕。据悉,由于英国下个月即将举行大选,因此此次网络袭击事件引发英国各党派对于英国公共卫生系统遭受严重攻击事件展开了新一轮的争斗。 本文由 HackerNews.cc 整理发布,转载请注明来源。

勒索病毒为何偏爱医院:怕耽误病情更新补丁太慢

据彭博社报道,迅速向全球扩散的勒索病毒网络攻击受害者于本周末还将继续增加,因为黑客可以轻松进入那些几个月没有更新 Windows 操作系统的电脑之中。但是绝大多数受害者的损失不会像医院那样惨重。 据悉,英国国民健康服务局( National Health Service,以下简称 NHS)下属的 16 家机构受到影响,包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称,处于非紧急状态下的病人最好待在家里,并全力阻止恶意软件扩散。 众所周知,医疗机构在更新安全补丁方面非常缓慢,部分原因是更新时导致关键系统离线会引发混乱。正因为如此,它们也成为勒索病毒袭击的主要受害者。许多安全人士甚至执法人员认为,在这种情况下,应该支付赎金以便以最快速度找回数据。此外,本次袭击的其他受害者还包括中小型企业。 尽管任何规模的公司都可存在软件漏洞,但拥有强大安全部门的大型公司或机构,通常会安装微软 3 月份发布的更新补丁,不会受到本次袭击太大影响。 稿源: cnBeta、网易科技 节选,封面源自网络