警惕WEB服务漏洞 !7Locker勒索来袭

admin 2022年6月6日20:46:32安全新闻评论73 views2534字阅读8分26秒阅读模式

警惕WEB服务漏洞 !7Locker勒索来袭


背景概述


近日,安恒信息CERT监测到一款名为7Locker的勒索病毒正在国内进行传播,该勒索病毒使用java语言开发,利用WEB服务漏洞针对部署java环境服务器发起攻击,病毒使用7z压缩程序内置的加密算法可同时对Windows、Linux受害主机的文件进行加密。加密程序释放勒索信内容如下。

警惕WEB服务漏洞 !7Locker勒索来袭


勒索信


警惕WEB服务漏洞 !7Locker勒索来袭

勒索赎金页


攻击流程


攻击者通过WEB服务漏洞入侵服务器,随后使用PowerShell下载执行jar包勒索程序,jar勒索程序进行加密文件并释放勒索信。

警惕WEB服务漏洞 !7Locker勒索来袭

攻击流程


样本分析


通过对加密程序分析得知此勒索病毒为新型勒索病毒,攻击者通过RSA公钥对7z的密钥进行加密,其中7z的密钥为 “32位随机数+UID+开始时间除1000”的字符串,攻击者通过对其加密后存到勒索信中,再让用户提交加密后的密钥到暗网,通过交1比特币的赎金再提供私钥解密后的密钥。故暂不支持解密。

警惕WEB服务漏洞 !7Locker勒索来袭

警惕WEB服务漏洞 !7Locker勒索来袭

部分代码片段

病毒程序在加密文件时会排除以下目录。

警惕WEB服务漏洞 !7Locker勒索来袭

部分代码片段

病毒程序在加密文件时会结束以下进程

警惕WEB服务漏洞 !7Locker勒索来袭

病毒加密文件后缀类型如下:

".der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .sh .mp3 .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .ai .psd .nef .tiff .tif .cgm .raw .png .bmp .jpg .jpeg .vcd .backup .zip .rar .gz .tgz .tar .bak .tbk .bz2 .paq .arc .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .rdb .aspx .asax .ashx .properties .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc"


病毒特征


勒索文件名称

sys.jar

勒索文件哈希

F2915D38BC67E893F907970C5B1F3995

入侵过程

1、通过WEB漏洞入侵服务器

2、执行powershell命令下载并执行jar文件

3、释放勒索信,开始加密文件

勒索家族名称

7Locker

家族简介

7Locker勒索病毒家族。20225月首次出现,为一种新型勒索病毒,该病毒利用RSA算法加密

主要攻击方式

通过垃圾邮件活动和漏洞利用工具包的组合进行分发

联系渠道

http://7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion

加密文件后缀特征

*.7z

readme特征

!!! ALL YOUR FILES HAVE BEEN ENCRYPTED !!!

 

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

 

To purchase your key and decrypt your files, please follow these steps:

 

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

 

2. Visit the following pages with the Tor Browser:

 

7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion

 

3. Enter your Client Key:

客户端Key

进程执行特征

攻击者通过RSA公钥对7z的密钥进行加密,其中7z的密钥为“32位随机数+UID+开始时间除1000”的字符串,攻击者通过对其加密后存到勒索信中,再让用户提交加密后的密钥到暗网,通过交1比特币的赎金再提供私钥解密后的密钥。

定时任务特征

无定时任务

主要攻击方向

国家/地区:未知

行业:未知

勒索金额

1比特币(约20万元)

解密方式

暂无



总结


7Locker勒索病毒家族于2022年5月首次出现,为一种新型勒索病毒,该病毒组合使用RSA算法和7z内置AES算法加密文件,暂无解密工具。目前观察到主要通过垃圾邮件活动和漏洞利用工具包的组合进行分发。建议广大用户及时修复存在高危漏洞的WEB服务,定期对重要文件进行备份。


安恒信息CERT


安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。



安恒信息CERT

2022年6月

原文始发于微信公众号(安恒信息CERT):警惕WEB服务漏洞 !7Locker勒索来袭

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月6日20:46:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  警惕WEB服务漏洞 !7Locker勒索来袭 http://cn-sec.com/archives/1092089.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: