专题报告 | 流行勒索病毒分析总结(下)

  • A+
所属分类:逆向工程

专题报告 | 流行勒索病毒分析总结(下)


本文为“流行勒索病毒分析总结”下篇。

上篇回顾👉 流行勒索病毒分析总结(上)


目录

1. 概述

2. 背景

3. 勒索软件发展历程

3.1 PC Cyborg(第一款勒索软件)

3.2 非对称加密

3.3 加密货币兴起

3.4 RaaS

3.5 双重破坏

4. 勒索软件TTPS

4.1 传播

4.2 横向移动

4.3 扩大影响(上篇结束于此)

5.常见勒索软件

5.1 Sodinokibi/Revil(下篇开始于此)

5.2 Crysis/Dharma

5.3 Globelmposter

5.4 Buran

5.5 NetWalker

6. 勒索软件的趋势

7. 勒索软件响应措施

7.1 感染迹象

7.2 应急处理

7.3 加密数据处理

8. 日常防范


5

常见勒索软件

5.1 Sodinokibi/Revil

5.1.1 概述

Stop主要通过软件捆绑进行传播,并且部分软件会通过远程下载 Azorult 密码窃取木马到本地,窃取受害者信息。

5.1.2 常见后缀

  • stop

  • puma

  • djvu

  • tro

  • kroput

  • promo

  • grovas

  • nols

5.1.3 传播方式
  • 软件捆绑
  • 垃圾邮件

5.1.4 特征

复制自身并连接网络下载文件到 %appdata%\GUID 目录

5.1.5 勒索信

_readme.txt

专题报告 | 流行勒索病毒分析总结(下)

5.2 Crysis/Dharma

5.2.1 概述
Ryuk勒索病毒于2018年由国外安全公司披露。相对于其他勒索软件,该家族更倾向于一种定制化的攻击。通过加密网络中的重要资产和资源来勒索赎金。

5.2.2 常见后缀

.RYK

5.2.3 传播方式
钓鱼邮件
5.2.4 特征
横向传播样本样本放于%Public%目录,文件名随机
在相同目录创建多个隐藏属性文件名随机的副本

5.2.5 勒索信

RyukReadMe.html

专题报告 | 流行勒索病毒分析总结(下)

5.3 Globelmposter

5.3.1 概述

Globelmposter 勒索病毒首次出现是在2017年5月份,在过去的几年中,对医院以及政企单位进行了大规模勒索事件,其主要通过钓鱼邮件、RDP爆破进行传播,变种数量众多。每年都会有版本更新,截至目前已经存在1.0、2.0、3.0、4.0、5.0等版本,最近友商纰漏5.1版本正在传播。

5.3.2 常见后缀

TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、GRANNY、BUNNY+、BIG、ARA、WALKER、XX、BONUM、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、PLIN

Ox4444、Snake4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Horse4444、Goat4444 、onkey4444 、Rooster4444 、Dog4444 、Pig4444

auchentoshan、makkonahi

Ares666、Zeus666、Aphrodite666、Apollon666、Poseidon666、Artemis666、Dionysus666、Hades666、Persephone666、Hephaestus666、Hestia666、Athena666

C4H、.IQ0005、lockfiles

5.3.3 传播方式

钓鱼邮件

RDP

5.3.4 特征

在%LOCALAPPDATA%或者%APPDATA%存在样本备份,并通过注册实现自启动;

在%public%存在用户ID以及rsa公钥文件;

在%temp%存在bat脚本文件用于环境清理;

5.3.5 勒索信

how_to_back_files.html

专题报告 | 流行勒索病毒分析总结(下)

5.4  Buran

5.4.1 概述

Buran 勒索病毒自2019年9月开始传入我国。早期该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。

5.4.2 常见后缀

.Buran、.{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}、.xxx-xxx-xxx等

5.4.3 传播方式

垃圾邮件

RDP

5.4.4 特征

进程可带参数启动,参数为 -agent 0、-start;

拷贝自身到%Appdata%MicrosoftWindows文件下,并随机命名;

5.4.5 勒索信

!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

专题报告 | 流行勒索病毒分析总结(下)

5.5 NetWalker

5.5.1 概述

NetWalker 与2019年9月出现,其幕后创建者为以俄语为母语的的团体组织,以 Circus Spider 名称提供RaaS服务,隶属Mummy Spider成员。

5.5.2 常见后缀

随机

5.5.3 传播方式

钓鱼邮件

5.5.4 特征

存放于%Program Files%randomnamerandomname.exe或者%Appdata%randomnamerandomname.exe

内存存在配置文件:

{

"mpk":,

"mode":,

"spsz":,

"thr":,

"namesz":,

"idsz":,

"pers":,

"onion1":,

"onion2":,

"lfile":"{id}Readme.txt",

"lend":"",

"white":{

"path":[],

"file":[],

"ext":[]},

"kill":{

"use":,

"prc":[],

"svc":[],

"svcwait":,

"task":[]},

"net":{[],

"prc":[]}

}

5.5.5 勒索信

USERID-Readme.txt

专题报告 | 流行勒索病毒分析总结(下)


6


勒索软件的趋势

第一起勒索事件被纰漏,经过时间的洗礼,勒索软件正在一步步进化。当前的勒索事件背后从开发到销售到攻击,早已成为一个供销分明的产业链,虽然人们一直在想方设法遏制其发展,但是不可否认的是这条产业链规模不仅没有缩小反而越来越流行,形式越来越多样。勒索软件在以后的发展中何去何从。

对于政企单位来说,由于其数据价值高,影响广泛,依旧会被勒索软件所针对,其勒索事件日后也会只增不减,并且赎金价值也会越来越大。在最近一年,纰漏的了一大批漏洞工具包,渗透攻击工具,这让攻击者在对指定目标攻击时更加隐蔽,手法也会更加高明。其精准化,复杂化,定制化,流程化将会是针对政企单位攻击的一大特点。如果公司内部没有做好相应的防范措施,及时更新很可能会遭受攻击。

除了基于个人电脑等传统企业外,IOT设备的勒索攻击很可能成为下一个主流攻击面。虽然IOT设备的勒索攻击在2016年已经被提及,但即使这几年勒索事件频发,针对 IOT 设备的勒索攻击还是相对来说比较少的。如今,随着5G技术的普及,万物互联的时代也一步步改变我们的生活。智能摄像头、智能冰箱、电灯等物联网设备越来越多,占据人们生活比重越来越大。相信在不久的将来,物联网勒索也会成为一个重要的攻击面。

如上文所说,勒索的同时很可能会造成数据的泄露,虽然攻击者保证缴纳赎金会销毁数据,但是随着勒索事件越来越多,当这块蛋糕变的越来越小时,即使受害者缴纳赎金,其勒索得到的数据也很可能会变成在线商品进行出售,从而获取利益最大化。

在针对个人勒索,相比于企业公司而言,数据价值相对较小,勒索成功率较低。但是近期勒索软件针对个人的勒索形式也不局限于数据的勒索,对于个人隐私的勒索也越来越多,通过裸聊软件进行录屏等形式进行隐私勒索,此类勒索事件越来越多,相比于数据勒索该种形式的勒索成功率要高得多。并且很可能让犯罪者进行持续勒索。


7

勒索软件响应措施

7.1 感染迹象

勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

7.2 应急处理

7.2.1 物理隔离

  • 强制关机和关闭网络
  • 关闭网络包括拔网线、禁网卡笔记本禁用无线网络

7.2.2 访问控制

加策略防止其他主机接入,关闭感染主机开放端口如445、3389等,修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。

7.2.3 确认损失

查看感染主机数量,根据感染特征,排查未感染主机,统计受损情况并列出清单。

7.2.4 主机加固

对未受感染主机进行加固处理,包括:

1. 登录密码采用强密码(大小写字母、数字、特殊符号混合,长度为15+)

2. 更新系统补丁,更新应用软件到最新版本

7.2.5 保护现场

当以上措施结束之后,尽量不要再操作受感染主机,等待相关专业人员进行处理。

7.3 应急处理

当数据被加密,如何对数据进行恢复。一般情况数据恢复有以下途径。

7.3.1 备份恢复

利用备份数据恢复是当前数据恢复途径中最有效成本最低的恢复方式,所以如果在固定的工作周期及时进行备份,这时就可以轻松应对。但是在恢复时一定要注意将被感染机器的勒索病毒清除干净,最好是格式化磁盘或者重装系统并及时修复系统漏洞,保证安全之后再恢复备份,防止二次感染。

7.3.2 解密工具

利用网上提供的解密工具进行修复,在一些特定情况下,如勒索软件通过读取文件副本加密然后删除原文件的方式,如果原文件内存未被覆盖,或者勒索软件尚未加密完成,及时发现后强制关机。部分文件未加密,这些情况都有几率成功恢复。

也可以使用很多在线解密网站的解密工具。通过公开的密钥进行解密,其密钥获取主要的方法为以下四种方法:

1.勒索软件本身算法存在缺陷,内存中可找到密钥;

2.攻击者服务器比较脆弱,通过攻陷服务器,获取解密密钥;

3.多国联合执法,通力合作,抓捕攻击者获取密钥并公开发布;

4.攻击者自己良心发现,公开密钥。

7.3.3 支付赎金
如果加密数据过于重要且无法免费解密,不得不缴纳赎金时,也需要注意,因为有部分勒索软件本身存在缺陷无法进行解密,即使缴纳赎金也无法恢复。另外一般赎金的类型为加密货币如比特币、达世币等,与法币交易不同,最好是找相关的安全专家进行综合判断之后,再确定是否缴纳赎金。不然如果盲目交钱,很可能最后人财两空。

7.3.4 重装系统

如果数据不重要或者通过上述方法解密成功并对数据做好备份之后,一定要重装主机系统,及时更新补丁等,防止二次勒索。


8

日常防范

现在勒索病毒的勒索形式不断变化,一旦中招,想要无损解密相对来说比较困难。所以,勒索病毒主要还是预防为主,通过周期性的安全培训,增强人们的安全意识。做到未雨而绸缪,防止临渴而掘井。

1.使用大小写字母、数字、特殊符号混合长度15+的强密码作为登录密码,并定期进行修改;

2. 及时更新系统补丁,及时更新应用软件到最新版本;

3. 对重要文件及时备份;

4. 适当安装反病毒软件,及时更新病毒库;

5.不随便运行邮件附件、未知可执行程序,对于不确定文件,可放入沙箱如s.threatbook.cn 或 any.run 等;

6. 不访问不安全连接;

7. 无特别需求,应尽量关闭3389、445等端口。


- END -


公众号内回复“RS”,可查看完整报告。



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”


本文始发于微信公众号(微步在线研究响应中心):专题报告 | 流行勒索病毒分析总结(下)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: