Ryuk勒索病毒最早在2018年8月由国外某安全公司报道,名称来源于死亡笔记中的死神,其早期变种主要通过垃圾邮件、漏洞利用工具包、RDP暴破以及木马下发等方式进行攻击,与大部分勒索病毒一样,依赖于人工运行,无主动传播行为。
https://mp.weixin.qq.com/s/fNl5mdfVuaI_On8aZc57Zg
而深信服终端安全团队此次发现的最新变种,入侵方式和早期变种无太大差别,但病毒样本增加了通过SMB主动传播的蠕虫性质,若客户内网多台主机采用相同的账号密码,一旦不慎感染便可能会对内网主机造成大规模破坏,造成不可挽回的损失。
将病毒文件复制为xxxxxxxxxrep.exe及xxxxxxxxxlan.exe,如下:
加参数运行复制的病毒文件,如下:–LAN:xxxxxxxxxlan.exe 8 LAN–REP:xxxxxxxxxrep.exe 9 REP
audioendpointbuildersamssvmcompBack
执行icacls <path> / grant Everyone:F / T / C / Q删除对应目录的访问限制:
使用AES256算法对文件进行加密,每个加密文件对应一个AES密钥,密钥由CryptGenKey生成,并使用RSA算法对其加密,如下:
病毒会抓取本机凭证,并通过SMB登录内网中相同用户名及密码的主机传播病毒文件,如下为病毒登录成功日志:
在远程主机中传入病毒文件后,远程创建任务计划运行远程主机中的病毒程序,实现内网传播:
1、深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:
2、深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
3、深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;
4、深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
3、不要点击来源不明的邮件附件,不从不明网站下载软件;
5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。
您可以通过以下方式联系我们,获取关于该勒索的免费咨询及支持服务:
1、拨打电话400-630-6430转6号线(已开通勒索软件专线)
2、关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3、PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):Ryuk勒索再进化,可利用SMB主动传播或威胁内网安全
评论