标签: 病毒

Rapid 变种再袭,不仅加密不可修复,还把文件名改得亲妈都不认得

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/V2nDMiLegWL2wUGjcy3mUg 一、概述 腾讯安全御见威胁情报中心检测到,Rapid勒索病毒变种在国内开始再度活跃,该病毒首次出现于2017年,由于早期该病毒加密文件后缀为Rapid,因此得名。自该病毒出现起,该病毒每年都会给一些国内企业造成不可逆转的加密破坏。由于该变种病毒暂无有效解密工具,我们提醒政企机构提高警惕。 Rapid勒索病毒在国内主要通过弱口令爆破方式传播,本次检测到国内变种加密文件完成后,会对其文件添加扩展后缀.cryptolocker,同时,病毒还会将原始文件名进行10字符随机修改,导致受害者无法识别被加密文件。 相比较于老版本病毒版本,除部分环境判断变化外,勒索方式也进行了改进,由早期邮箱沟通方式更改为使用TOR浏览器访问暗网交易解密工具的模式。 二、分析 病毒运行前首先结束大量服务防止文件占用,同时尝试结束部分安全软件相关进程。 MsMpEng.exe(Windows Defender ) Ntrtscan.exe(趋势) Avp.exe(卡巴斯基) WRSA.exe(WebRoot) Egui.exe(NOD32) AvastUI.exe(avast) 加密前同样会结束大量数据占用类进程,与老版本Rapid对比序列一致,无太大变化: 病毒运行后将自身设置为计划任务,每隔1分钟运行一次,这也导致在病毒未清理完成前,可能导致系统内新文件被再次加密,同时将自身设置为的注册表run启动(HelloAV)。 病毒加密前先导入硬编码RSA公钥,该密钥使用Base64编码存放,使用前先对其进行解码 随后会生成用户RSA密钥对,将其存储在注册表 (HKEY_CURRENT_USER\Software\EncryptKeys)中,私钥被硬编码的RSA公钥加密,该注册表信息存放路径也与老版本Rapid一致 加密前会避开以下文件,主要为rapid病毒自身使用文件和部分系统文件 文件加密时会对每一个文件生成单独的AES密钥,AES密钥信息将会使用local_public_key进行加密 文件被加密后被修改为以下格式:10字符随机名.cryptolocker,而原始文件名同被加密的AES密钥信息,local_enc_private_key信息一同放置到文件末尾。 留下名为!DECRYPT_FILES.txt的勒索说明信息,要求用户使用Tor浏览器登录暗网进行解密交易流程。区别于老版本病毒使用邮件方式沟通,通过使用暗网进行自动化交易的模式也更加完善。 老版本病毒使用勒索信 新版本病毒使用勒索信 三、安全建议 企业用户: 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据(数据库等数据)进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 OCs MD5: 0957e81940af57c778c863cd7340191f

区块链火了,Sality 病毒感染 3 万电脑伺机盗取比特币

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/OXwqWtjIHz1aTezwevg_Mw   一、背景 腾讯安全御见威胁情报中心监测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒也趁机利用自己建立的P2P网络,传播以盗取、劫持虚拟币为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。 Sality病毒最早于2003年被发现,最初只是一个简单的文件感染程序,具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能,在增强了传播速度的同时也具有了更大的破坏能力。 Sality病毒拥有一个内置的URL列表,同时可以从其他受感染的P2P网络中接收新的URL,通过下载,解密和执行列表中的每个URL,Sality可以植入其他木马或者收取推广安装渠道费,Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。 该版本Sality病毒有以下特点 1、破坏系统安全设置; 2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件; 3、利用可移动、远程共享驱动器的自动播放功能进行感染; 4、将自身注入到其他进程中,以便能够将下载的DLL加载到目标进程; 5、创建一个对等(P2P)僵尸网络; 6、从URL列表下载并执行“剪切板大盗”木马,通过剪切板内容中的字符格式判断以太币或比特币钱包地址,并将剪切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产就会被盗。 根据腾讯御见威胁情报中心统计数据,此次Sality病毒攻击影响超过3万台电脑。从地区分布来看,Sality在全国各地均有感染,最严重地区分别为广东、江苏、河南、山东。 从感染行业分布来看,Sality影响最严重的依次为科技、制造业和房地产行业。 二、详细分析 Sality感染型病毒 Sality使用外壳程序保护,执行后首先解密出核心代码,然后跳转到入口执行。 创建互斥体”uxJLpe1m”以保证木马进程具有唯一实例。 枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。 HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 将恶意代码指令注入到其他进程(排除属于系统,本地服务或网络服务的进程)中,从而允许代码将从远程服务器下载的外部程序加载到目标进程中,病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。 感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能。 在本地、可移动和远程共享驱动器根目录下创建autorun.inf,并在其中设置自动执行的文件指向拷贝到其中的病毒程序,使得网络共享盘和可移动盘被打开时病毒自动运行,继续传播感染病毒。 创建驱动程序,文件路径C:\WINDOWS\system32\drivers\<random>.sys,符号链接为“\DosDevices\amsint32”,该驱动程序用来阻止对各类安全软件供应商网站的访问。 构建基于UDP协议的P2P网络,通过P2P网络共享用于下载、解密和执行文件的URL列表。 获取内置的下载URL列表。 获取计时器转换成字符,并以“?%x=%d”格式拼接在URL的末尾。 目前URL使用的活跃域名如下: tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua 从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。   剪切板大盗 感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序,木马启动后循环打开剪切板并获取剪切板中数据。 通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋。 根据监测数据,Sality下载的盗取数字加密货币木马每一个月更换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计盗取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合人民币约27万元。 三、安全建议 防御重点:使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。 个人用户应避免从危险网站下载高风险软件,如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功能,防止感染型病毒通过U盘传播。 企业用户应加强内网共享文件的管理,可通过配置企业安全策略来降低风险。具体防范措施如下: 1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件,并在不需要时断开驱动器的连接。如果不需要写访问权限,在可用选项下启用只读模式。 2、如果不需要使用文件共享,则用户应关闭文件共享。如果需要文件共享,则用户应使用ACL和密码保护来限制访问。 3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时,需确保要求管理级访问的程序是合法应用程序; 4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 5、及时安装系统补丁,尤其是在承载公共服务且可通过防火墙访问的计算机上,例如HTTP,FTP,邮件和DNS服务; 6、建议企业用户安装部署腾讯御点终端安全管理系统防御病毒攻击。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。企业可登录腾讯安全主页申请免费试用(https://s.tencent.com/product/yd/index.html)。 IOCs Sality f90e3875bb0bb255b1f4aee5e32609be f76632ca9119490381be2c80dd705b29 f4749b0542f22db4a15ea9116e3d4158 Clipboardstealer b013271b23de42de21ad813266b5155b bce9b8ce30eb68f2661c21d979c16270 72392e93001dba2c3bc761eac28fd0c5 72392e93001dba2c3bc761eac28fd0c5 e0ff8d9617cdbc1284ccb906d93f774e 508d177fb70362076a564d0e3486de2a abbf96e689413786673a6c18d3602edc 1964b13bbaa11b68b28cd0e81e6c51d2 5633e7a29466dad62d682c795e839dad c7a52a04577263e9f76d48f4ce2aace0 d8b867e7802cbd34c672217a51aeca46 Domain tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua URL http[:]//tudorbuildersfl.com/wp-content/logo.gif http[:]//energy-guru.com/blog/styles.gif http[:]//acostaphoto.com/wp-content/styles.gif http[:]//ptcgic.com/wp-content/logo.gif http[:]//cikmayedekparca.com/images/logos.gif http[:]//brucegarrod.com/images/logos.gif http[:]//cbbasimevi.com/images/logos.gif http[:]//brandaoematos.com.br/images/logoi.gif http[:]//caglarteknik.com/logos.gif http[:]//bharatisangli.in/logoi.gif http[:]//cacs.org.br/novosite/logos.gif http[:]//butacm.go.ro/logos.gif http[:]//boyabateml.k12.tr/images/logos.gif http[:]//casbygroup.com/images/logos.gif http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif BTC钱包 13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA 13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft 13wJMZru75JRy8FdGby3LJsELKCsd5MRRf 3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ 3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM 3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC 1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH 1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH 1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4 1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ 1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm 1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS 1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71 14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm 1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A 18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N 3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S 19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5 32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9 12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2 1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8 1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc 32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng 13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr 13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh 3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp 18ihjyRYde3ToUys9rCebRbeTDcpkAehq6 3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ ETH钱包 3D15c7341BBD7cCc193769de903ea711a2e4b43e 参考链接: https://www.symantec.com/security-center/writeup/2006-011714-3948-99

“月光(Moonlight)”蠕虫威胁高校网络,中毒电脑被远程控制

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/-26KdmJSWZpCjdj6tdqGIQ   一、概述 腾讯安全御见威胁情报中心检测到“月光(MoonLight)” 蠕虫病毒感染呈上升趋势,该病毒主要危害教育行业。病毒会搜集受感染系统上的邮件地址,然后伪装成屏幕保护程序文件(.scr)的病毒发送至收件人。病毒还会复制自身到启动目录、download/upload目录、共享目录以及可移动磁盘,具有较强的局域网感染能力。病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络,对指定目标进行DDoS攻击。 在此次攻击中,病毒伪装成以“**课件”、“打印**”命名的文件进行传播,对于老师和学生具有很高的迷惑性,大学新生的防毒意识相对较差,该蠕虫病毒已在教育网络造成较重影响,在9月开学季达到感染峰值。   根据腾讯御见威胁情报中心统计数据,MoonLight蠕虫病毒攻击行业分布如下,受影响严重的前三位分别为教育、信息技术、科研及技术服务等。 从地区分布来看,MoonLight蠕虫全国各地均有感染,影响严重的省市包括:广东、北京、广西、山东、四川等地。 二、详细分析 “月光”(MoonLight)蠕虫病毒可通过邮件、文件共享、可移动磁盘等途径传播,中毒系统会被远程控制、键盘记录以及组成僵尸网络对指定网络目标进行DDoS攻击。 MoonLight蠕虫病毒的攻击流程 持久化攻击 MoonLight运行后首先将自身拷贝至以下位置,包括系统目录、临时文件目录、Run启动项、全局启动目录。使用的文件名包括固定名称(EmangEloh.exe、smss.exe、sql.cmd、service.exe、winlogon.exe)和随机生成(用<random>表示)两种: C:\Windows\sa-<random>.exe C:\Windows\Ti<random>ta.exe C:\Windows\<random>\EmangEloh.exe C:\Windows\<random>\Ja<random>bLay.com C:\Windows\<random>\smss.exe C:\Windows\System32\<random>l.exe C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd C:\Documents and Settings\<user>\Templates\<random>\service.exe C:\Documents and Settings\<user>\Templates\<random>\Tux<random>Z.exe C:\Documents and Settings\<user>\Templates\<random>\winlogon.exe 为了确保在系统启动时自动执行和防止被删除,病毒添加到开机启动项、映像劫持、exe/scr文件关联等位置,具体包括以下注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <random>=”%system%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <random>=”%WINDOWS%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe debugger=”%windows%\notepad.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe debugger=”%windows%\notepad.exe” HKEY_CLASSES_ROOT\exefile default=”File Folder” HKEY_CLASSES_ROOT\scrfile default=”File Folder” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden=dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState FullPath=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden UncheckedValue=dword:00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Startup = “%system%\<random>” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=”explorer.exe, “%userprofile%\Templates\<random>\<random>.exe”” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell=”<random>.exe” 蠕虫式传播 病毒枚举路径,找到路径中包含以下字符的文件夹: download upload share 找到后,拷贝自身到该目录下以感染网络共享文件夹,拷贝后使用以下文件名: TutoriaL HAcking.exe Data DosenKu .exe Love Song .scr Lagu – Server .scr THe Best Ungu .scr Gallery .scr New mp3 BaraT !! .exe Windows Vista setup .scr Titip Folder Jangan DiHapus .exe Norman virus Control 5.18 .exe RaHasIA.exe Data %username%.exe Foto %username%.exe New Folder(2).exe New Folder.exe 病毒还会拷贝自身到可移动磁盘中,病毒自身使用文件夹图标,默认情况下系统不显示文件扩展名,这会让用户误认为文件夹图标而双击打开: %username% Porn.exe System Volume Infromation  .scr MoonLight蠕虫还会尝试将自身的副本发送到从受感染系统搜索获取的电子邮件地址。使用自带的SMTP邮件引擎猜测收件人电子邮件服务器,并在目标域名前面加上以下字符串: gate. mail. mail1. mx. mx1. mxs. ns1. relay. smtp. 构造包含以下字符串之一的邮件正文: aku mahasiswa BSI Margonda smt 4 Aku Mencari Wanita yang aku Cintai dan cara menggunakan email mass di lampiran ini terdapat curriculum vittae dan foto saya foto dan data Wanita tsb Thank’s ini adalah cara terakhirku ,di lampiran ini terdapat NB:Mohon di teruskan kesahabat anda oh ya aku tahu anda dr milis ilmu komputer please read again what i have written to you yah aku sedang membutuhkan pekerjaan 构造包含以下名称之一的邮件附件: curriculum vittae.zip USE_RAR_To_Extract.ace file.bz2 thisfile.gz TITT’S Picture.jar 蠕虫病毒使用的Payload下载地址: http[:]//www.geocities.com/m00nL19ht2006/ 主要危害 MoonLight蠕虫病毒会针对指定目标网站执行DDoS攻击,并通过后门在受害系统列举文件和目录、创建和执行程序,同时具有内置的键盘记录功能,可将记录的键盘输入发送到远程地址 三、安全建议 1、不要打开不明来源的邮件附件,对于附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、谨慎访问网络共享盘、U盘、移动硬盘时,发现可疑文件首先使用杀毒软件进行扫描; 3、建议使用腾讯电脑管家或部署腾讯御点终端安全管理系统防御病毒木马攻击; 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 5c58e370266f182e6507d2aef55228e6 9c852e1c379849c3b6572a4d13b8624b f1af3d3d0c5a5d6df5441314b67a81f4 d1b2b5b83f839a17d113e6c5c51c8660 3d62ac71ff3537d30fcb310a2053196a aa22ed285c82841100ae66f52710e0b1 Domain www[.]apasajalah.host.sk URL http[:]//www.apasajalah.host.sk/testms.php?mod=save&bkd=0&klog= http[:]//www.geocities.com/m00nL19ht2006/ http[:]//www.geocities.com/sblsji1/IN12QGROSLWX.txt http[:]//www.geocities.com/jowobot123/BrontokInf3.txt http[:]//www.geocities.com/sblsji1/in14olpdwhox.txt http[:]//www.geocities.com/sbllma5/IN12ORURWHOX.txt 参考链接: https://www.f-secure.com/v-descs/email-worm_w32_vb_fw.shtml

NEMTY 勒索病毒 V1.6 变种节日期间高发,企业用户须小心防范

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/iJ_xP70Ft4JTkl4_7qx-zw   一、概述 腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂难以解密,我们提醒各企业提高警惕。 NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。从该变种的感染数据看,国庆期间有明显上升。 主要受害地区为江苏、辽宁、河南等省。 NEMTY勒索病毒v1.6变种的主要特点: 会检查感染痕迹,已被感染的系统,不会二次感染; 病毒有感染白名单国家,俄罗斯、白俄罗斯、乌克兰及多个中亚国家不感染; 病毒加密文件前会结束若干个数据库软件、Office程序的进程,停止相关服务,使加密文件时避免文件锁定而中止; 病毒会添加计划任务来自动运行; 加密白名单中的文件或文件夹不会被加密; 病毒会删除磁盘卷影信息,避免用户通过这些信息恢复数据; 被加密的文件后辍为“_NEMTY_randome_7位随机字符串_” 二、详细分析 NEMTY勒索病毒v1.6变种外壳程序在内存中解密出勒索payload进一步执行,外壳最终解密方式为使用硬编码的字串循环异或 病毒运行后首先检查自身互斥体,注册表信息,当机器已经被感染过,则不再进行二次感染,使用互斥体为just_a_game 随后获取感染环境ip,国家,用户名,机器名,系统版本,GUID,解密出硬编码的rsa公钥信息,硬盘信息,加密扩展后缀信息等然后上报。在此过程中,会对当前感染的国家进白名单判定,以便在后续加密过程中对白名单国家进行放行,过程中涉及的大部分字串以Base64+RC4加密存放。 ip获取接口: http://api.ipify.org 国家获取接口: http://api.db-ip.com/v2/free/xxx.xxx.xxx.xxx/countryName 信息上报接口: https://nemty.hk/public/gate?data= 白名单国家列表: Russia(俄罗斯)、Belarus(白俄罗斯)、Kazakhstan(哈萨克斯坦)、Tajikistan(塔吉克斯坦)、Ukraine(乌克兰)、Azerbaijan(阿塞拜疆)、Armenia(亚美利亚)、Kyrgyzstan(吉尔吉斯坦)、Moldova(摩尔多瓦) 病毒执行过程中使用到的部分字串使用Base64解码+RC4解密,RC4-KEY:fuckav。 病毒加密前会在本地生成rsa密钥对,随后会将生成的公钥和硬编码的rsa公钥一同导入,硬编码公钥用于加密本地生成的rsa密钥信息,AES文件加密密钥将被本地生成的rsa公钥加密。 加密文件前结束进程名中包含以下关键字的进程: Sql Winword Wordpad Outlook Thunderbird Oracle Excel Onenote Virtualboxvm Node QBW32 WBGX Teams Flow 停止以下相关服务: DbxSvc OracleXETNSListener OracleServiceXE AcrSch2Svc AcronisAgent Apache2.4 SQLWriter MSSQL$SQLEXPRESS MSSQLServerADHelper100 MongoDB SQLAgent$SQLEXPRESS SQLBrowser CobianBackup11 cbVSCService11 QBCFMontorService QBVSS 将自身拷贝至user目录并设置计划任务 删除卷影信息 加密前避开以下白名单文件、目录 v1.6版本变种主要更新了密钥生成算法,较老版本相比新增了获取当前进程数进行随机干扰 v1.6版本文件加密使用AES-ECB进行加密,加密使用WinCryptAPI,密钥为生成的0x20字节的随机值计算sha256所得。 老版本密钥生成算法相对简单,文件加密使用修改过的AES-CBC模式,Key全局生成1次,IV对每个文件单独生成。 文件被加密后被添加_NEMTY_randome_随机7位字符串_扩展后缀 生成加密扩展名_NEMTY_random_-DECRYPT.txt的勒索说明文档,文档标题可看出病毒已更新至v1.6版本。 三、安全建议 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件和网页挂马传播,需要企业用户小心处理电子邮件。及时升级操作系统补丁,避免因浏览器漏洞而导致网页挂马攻击发生; 2. 对重要文件和数据(数据库等数据)进行定期非本地备份,普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家拦截病毒。 3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; IOCs MD5: 3e6672a68447e4e7c297e4dd7171b906 6c05aa998d0523f2855769bd30b2d0d1

台积电遭病毒入侵全线停产 苹果新U或遭殃

据 AppleInsider 北京时间 8 月 5 日报道,苹果 iPhone、iPad 芯片代工厂商台积电遭到计算机病毒攻击,星期六数家工厂因此停产。在工厂设备感染病毒后,台积电数家工厂已经已停产。对于台积电和苹果来说,芯片制造工厂停产的时机很糟糕,因为台积电目前正在全力为苹果计划今年秋季发售的新款 iPhone 生产芯片。 台积电已经控制了病毒进一步蔓延,受影响工厂部分设备也已恢复生产,其他一些设备要到星期日才能恢复生产。由于芯片制造流程很长,因此生产过程中断可能会导致损失数周的产量。 虽然这次事故似乎是有针对性的攻击,但台积电称这次病毒攻击与网络入侵无关。这是台积电生产线首次因遭到病毒攻击停产。 台积电首席财务官何丽梅向彭博社表示,“台积电之前也曾遭到过病毒攻击,但病毒攻击影响生产线还是首次。” 台积电没有就造成的生产损失以及受影响的客户发表评论。传统上,在每年8月初,台积电绝大多数产能都用于为苹果生产 A 系列芯片。 对于各种 iPhone 组件,苹果通常会向多家供应商采购,但 A 系列芯片是个例外——目前只有台积电一家公司供应。2018 年发布的新款 iPhone 可能配置 A12 芯片。 最近,台积电预计本季度营收将增长“大一位数”,主要推动力量就是新款 iPhone。5 月份,AppleInsider 刊文称台积电已开始采用 7 纳米工艺为苹果生产 A12 芯片。   稿源:凤凰网科技,封面源自网络;

安全专家曝新银行木马 专门窃取证书、密码及其他敏感信息

凤凰网科技讯 据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。 安全人员表示,这一强大的恶意软件可以用来传播包括木马病毒、赎金软件和恶意加密货币挖掘软件等在内的安全威胁。 该恶意软件被认为是Smoke Loader木马的最新变种之一。从2011年开始,在垃圾邮件网络钓鱼活动中,Smoke Loader类木马病毒一直十分活跃,同时在不断发展变化。这类恶意软件在2018年以来都特别繁忙,包括今年早些时候出现的Meltdown和Spectre等安全漏洞,都是这些恶意木马在作祟。 与许多恶意软件一样,该木马最初发动攻击是通过恶意Word附件进行的,该附件欺骗用户允许宏命令,允许在受攻击的系统上安装SmokeLoader,并允许木马发送其他恶意软件。 令研究人员感兴趣的是,该Smoke Loader木马在传播过程中使用了最新的“注射技术”——PROPagate。这一技术之前不曾被使用,只是几天前刚刚被发现。至于PROPagate概念,在去年年末才被提出,业界最初将PROPagate描述为一种安全攻击的潜在手段。 虽然仍有大量的Smoke Loader试图将附加的恶意软件发送到受攻击的系统中,但在某些情况下,这些恶意程序正在安装自己的插件,以便直接执行自己的恶意任务。 它们所安装的每一个插件,都被设计用来窃取敏感信息,特别是那些存储在PC上的证书或通过浏览器传输的敏感信息——比如Firefox、IE、Chrome、Opera、QQ等浏览器,以及Outlook和Thunderbird程序,都可被用来窃取数据。 思科Talos安全团队的研究人员表示,“我们已经看到,木马和僵尸网络市场正在不断地发生变化。黑客们正在不断地提升他们的技术,通过不断修改这些技术,以增强绕过安全工具的能力。这清楚地表明,确保我们所有的系统时时刻刻保持最新是多么的重要。” “我们强烈鼓励用户和组织遵循推荐的安全实践,例如及时安装安全补丁,在收到未知第三方消息时保持谨慎,并确保可靠的脱机备份解决方案到位。这些做法将有助于减少攻击威胁,并有助于在遭到任何此类攻击后进行系统恢复,”他们补充说。   稿源:凤凰网科技,封面源自网络;

安卓手机爆发“寄生推”病毒 2000 万用户遭遇恶意推广

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日,腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,通过预留的“后门”云控开启恶意功能,进行恶意广告行为和应用推广,以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染,潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备 ROM 内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。 更值得关注的是,感染“寄生推” SDK 的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,“我们估测超过 2000 万用户都受此威胁”,腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 (图:“寄生推”推送 SDK 恶意子包影响范围广) 传播过程酷似“寄生虫”:强隐蔽性+强对抗性 “寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。据雷经纬介绍,该信息推送 SDK 的恶意传播过程非常隐蔽,从云端控制 SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。 具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。 如何远离手机中的“寄生虫”?安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害,腾讯手机管家安全专家杨启波提出以下三点建议:其一,SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的 SDK,防止恶意 SDK 影响自身应用的口碑;其二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。 (图:腾讯手机管家查杀“寄生推”病毒) 最后,用户应养成良好的安全使用手机的习惯,借助腾讯手机管家等第三方安全软件对手机进行安全检测,移除存在安全风险的应用。作为用户手机安全的第一道防线,腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力,进一步增强整体防御能力。据了解,腾讯 TRP-AI 反病毒引擎,首次引入基于 APP 行为特征的动态检测,并结合AI深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒,变异病毒,和及时发现病毒恶意代码云控加载,更为智能的保护用户手机安全。 稿源:凤凰网,封面源自网络;

安全软件 WebRoot 误将多个系统文件当做病毒进行隔离

知名的反病毒软件 WebRoot 昨天发布的病毒库更新错误将微软的签名给拦截并导致众多 Windows 出现问题。同时这个病毒库还将部分知名网站如彭博和 Facebook 等当做是钓鱼网站直接阻止用户通过浏览器进行访问。本身 WebRoot 在全球拥有超过 3,000 万名用户,由于病毒库更新问题目前受影响的用户已经超过了数百万名。 受影响的用户除了部分网站无法访问外还有不少桌面软件也由于签名和组件被拦截问题直接出现崩溃等情况。目前该公司正在制作修复程序以便于解决这个问题,但目前修复程序尚未发布且该公司也未确定何时才发布。遇到此问题的用户切勿直接卸载软件防止被拦截的正常文件被删除,用户应该先恢复那些已经被隔离的文件。 临时解决办法: 1、登录到 WebRoot 的控制台进行设置,控制台地址为:https://my.webrootanywhere.com/default.aspx 2、点击组管理选项卡并转到代理设置—>文件和进程—>重新验证所有文件和进程—>端点保护—>状态; 3、点击阻止程序下方红色标记的查看按钮然后即可显示所有文件, 点击恶意软件组的未分类文件和白名单; 4、点击文件列表旁边的复选框选择所有文件然后点击创建覆盖,然后点击从隔离区还原文件按钮进行还原; 5、完成上述操作后请重新转到重新验证所有文件和进程选项里,然后在状态里点击扫描按钮进行重新扫描。 注意事项:根据软件为端点设置的轮循间隔这可能需要 24 小时才能生效,如需强制轮循更新请执行下列步骤进行操作: 方法 1:右键点击系统托盘中的 SecureAnywhere 图标然后再弹出的菜单中选择刷新配置按钮即可进行刷新; 方法 2:使用命令行进行刷新操作,请打开管理员模式的命令提示符然后按系统信息执行对应的刷新命令: #32位版执行: “C:\Program Files\Webroot\WRSA.exe” -poll #64位版执行: “C:\Program Files (x86)\Webroot\WRSA.exe” –poll 稿源:cnBeta 、蓝点网;封面源自网络

新型病毒 DoubleAgent 曝光:攻击电脑前预先入侵防病毒软件

安全专家近日发现了新型恶意程序,利用防病毒软件来攻击计算机。来自 Cybellum 的安全专家发现了这种新型病毒,并将这种攻击手段命名为 DoubleAgent。 DoubleAgent 通过注入代码从而修改防病毒软件,进而获得完整权限来接管受害者电脑。 DoubleAgent 利用了存在于 Microsoft Application Verifier 的一个 15 年漏洞,从 XP 到 Windows 10 所有 Windows 版本都受到了影响。Microsoft Application Verifier 通常用于寻找 Windows 应用中的 BUG。 安全专家已经找到了他们的攻击方式,因此他们能够劫持软件并做任何他们想要做的事情。在 DoubleAgent 成功攻击防病毒软件之后,攻击者还能进行远程关闭防病毒软件,从而在受害者不知情的情况下安装恶意程序。 根据研究人员表示,McAfee , Kaspersky , Norton 和 Avast 软件都存在安全漏洞。病毒公司 Malwarebytes 已经提供了安全防部,而趋势科技计划在近期内发布更新。 稿源:cnBeta, 封面源自网络