自带加密通讯工具!注意防范Waiting勒索病毒

admin 2022年5月21日00:55:31评论223 views字数 1253阅读4分10秒阅读模式

恶意文件名称

Waiting

威胁类型

勒索病毒

简单描述

Waiting 是一款勒索病毒,最早出现于到2021年,其可以加密受害者主机上的关键文件,从而敲诈勒索谋取利益。


恶意文件分析


1 恶意文件描述

近期,深信服终端安全团队在运营工作中发现,一款名为 Waiting 的勒索病毒家族正在国内传播。该勒索病毒程序运行后,会将恶意代码注入到系统进程,加密受害主机上的文件,并释放勒索信。


2 恶意文件分析

1. Waiting 勒索病毒是使用修改过的 UPX 打包工具加壳处理过的,如果使用脱壳工具脱壳,恶意代码将会被破坏,无法正确执行恶意功能。


自带加密通讯工具!注意防范Waiting勒索病毒


2. 程序运行后,会在 C:/windows 目录下释放 uTox 可执行程序,该程序是一个通讯软件,可通过预留的 ID 从攻击者那里获取解密方法。


自带加密通讯工具!注意防范Waiting勒索病毒


3. 后续程序会进行提权操作,之后创建注册表项,实现当双击后缀名为 .waiting的文件时,会通过 mshta 启动 hta 格式的勒索信。并将勒索信设为启动项。


自带加密通讯工具!注意防范Waiting勒索病毒


4. 完成准备工作,程序会遍历进程,将自身恶意代码注入 svchost 进程,然后创建远程线程。


自带加密通讯工具!注意防范Waiting勒索病毒


5. 远程线程首先会删除勒索文件本体,然后在 windows 目录释放 pghdn.txt 和rwjfk.bat 两个文件,批处理文件能够清除入侵痕迹并删除卷影副本。之后,程序还会关闭网络服务。


自带加密通讯工具!注意防范Waiting勒索病毒


6. 删除卷影副本后,恶意代码会创建线程,并使用 CSWSQNSN 作为互斥量。该进程会再次创建远程进程,将具有勒索核心功能的恶意代码注入 svchost 进程。


自带加密通讯工具!注意防范Waiting勒索病毒


7. 该线程会解密勒索信内容,然后根据目录创建大量线程,释放勒索信文件并对目录内的数据进行加密。


自带加密通讯工具!注意防范Waiting勒索病毒


8. 勒索信内容如下。


自带加密通讯工具!注意防范Waiting勒索病毒


解决方案


1 处置建议

1. 避免到信誉不明的网站下载应用程序;

2. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

3. 定期使用杀毒软件进行全盘扫描。


2 深信服解决方案

【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


深信服千里目安全实验室

自带加密通讯工具!注意防范Waiting勒索病毒

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



原文始发于微信公众号(深信服千里目安全实验室):自带加密通讯工具!注意防范Waiting勒索病毒

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月21日00:55:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   自带加密通讯工具!注意防范Waiting勒索病毒https://cn-sec.com/archives/1032738.html

发表评论

匿名网友 填写信息