一
背景概述
近日,安恒信息CERT监测到一款名为7Locker的勒索病毒正在国内进行传播,该勒索病毒使用java语言开发,利用WEB服务漏洞针对部署java环境服务器发起攻击,病毒使用7z压缩程序内置的加密算法可同时对Windows、Linux受害主机的文件进行加密。加密程序释放勒索信内容如下。
勒索信
勒索赎金页
二
攻击流程
攻击者通过WEB服务漏洞入侵服务器,随后使用PowerShell下载执行jar包勒索程序,jar勒索程序进行加密文件并释放勒索信。
攻击流程
三
样本分析
通过对加密程序分析得知此勒索病毒为新型勒索病毒,攻击者通过RSA公钥对7z的密钥进行加密,其中7z的密钥为 “32位随机数+UID+开始时间除1000”的字符串,攻击者通过对其加密后存到勒索信中,再让用户提交加密后的密钥到暗网,通过交1比特币的赎金再提供私钥解密后的密钥。故暂不支持解密。
部分代码片段
病毒程序在加密文件时会排除以下目录。
部分代码片段
病毒程序在加密文件时会结束以下进程
病毒加密文件后缀类型如下:
".der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .sh .mp3 .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .ai .psd .nef .tiff .tif .cgm .raw .png .bmp .jpg .jpeg .vcd .backup .zip .rar .gz .tgz .tar .bak .tbk .bz2 .paq .arc .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .rdb .aspx .asax .ashx .properties .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc"
四
病毒特征
|
勒索文件名称 |
sys.jar |
|
勒索文件哈希 |
F2915D38BC67E893F907970C5B1F3995 |
|
入侵过程 |
1、通过WEB漏洞入侵服务器 2、执行powershell命令下载并执行jar文件 3、释放勒索信,开始加密文件 |
|
勒索家族名称 |
7Locker |
|
家族简介 |
7Locker勒索病毒家族。2022年5月首次出现,为一种新型勒索病毒,该病毒利用RSA算法加密 |
|
主要攻击方式 |
通过垃圾邮件活动和漏洞利用工具包的组合进行分发 |
|
联系渠道 |
http://7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion |
|
加密文件后缀特征 |
*.7z |
|
readme特征 |
!!! ALL YOUR FILES HAVE BEEN ENCRYPTED !!! All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment. To purchase your key and decrypt your files, please follow these steps: 1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page". 2. Visit the following pages with the Tor Browser: 7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion 3. Enter your Client Key: 客户端Key |
|
进程执行特征 |
攻击者通过RSA公钥对7z的密钥进行加密,其中7z的密钥为“32位随机数+UID+开始时间除1000”的字符串,攻击者通过对其加密后存到勒索信中,再让用户提交加密后的密钥到暗网,通过交1比特币的赎金再提供私钥解密后的密钥。 |
|
定时任务特征 |
无定时任务 |
|
主要攻击方向 |
国家/地区:未知 行业:未知 |
|
勒索金额 |
1比特币(约20万元) |
|
解密方式 |
暂无 |
五
总结
7Locker勒索病毒家族于2022年5月首次出现,为一种新型勒索病毒,该病毒组合使用RSA算法和7z内置AES算法加密文件,暂无解密工具。目前观察到主要通过垃圾邮件活动和漏洞利用工具包的组合进行分发。建议广大用户及时修复存在高危漏洞的WEB服务,定期对重要文件进行备份。
六
安恒信息CERT
安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):警惕WEB服务漏洞 !7Locker勒索来袭
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论