近日,360数字安全集团监测到一款基于伪装成Microsoft 365(Office)下载页面的钓鱼页面来实现传播扩散的新型勒索软件,用户一旦不慎下载并执行该页面所提供的程序,电脑中几乎所有的数据文档都会被“无情”加密。该勒索软件采用RC4算法实了极高的加密速率,所有被加密后的文件都会被被添加“.Montelli”后缀。
经溯源分析,360安全大模型发现该勒索软件团伙巧妙地利用了GitHub服务。他们不仅在GitHub上构建了钓鱼页面,还设置了勒索程序的下载链接。由于GitHub作为一个高访问量的正规站点,本身就享有较高的信誉,加之他们精心设计的钓鱼页面内容和勒索程序图标高度仿照了微软的Microsoft 365,这使得许多配备了基础安全功能的浏览器难以辨识,直接将相关站点误判为安全。
360安全大模型进一步研判发现,在用户被诱导下载并执行该勒索软件样本后,其会通过参数,通知系统以隐藏控制台的模式在后台悄悄运行。勒索软件首先会从远程服务端下载其定制桌面壁纸图片到本地,再从代码中内置的一段数据解码出一段PowerShell命令代码进行执行,使刚刚下载到的图片成为系统当前壁纸;之后还会下载用于勒索受害用户的“勒索信程序”。
完成上述下载操作后,勒索程序会启动单独线程执行核心的加密功能。该勒索软件在加密过程中采用的RC4对称算法,是Ron Rivest为RSA公司设计的一种流加密算法。该算法以随机置换作为基础,其密码周期很可能大于10100,且运行速度很快。
但由于该勒索软件采用了密钥内置,所以被加密的文件是可以通过内置密钥进行反向操作来实现解密。不过,由于软件作者在实现RC4加密算法的过程中存在一些代码层面的bug,导致了部分情况下加密密钥会变为纯随机数值,导致这类被加密的数据根本无法解密。
加密完成后,所有被加密文件后会添加“.Montelli”扩展名,而违背加密的原始文件将惨遭删除。同时,弹出的勒索提示信息会要求受害用户支付约合1337美元的Pi币 。
在溯源过程中,360安全大模型追踪到了该勒索软件作者放置于钓鱼页面的GitHub相关账户信息,以及关于Montelli勒索软件的一份相关声明。
360数字安全集团
鉴于该新型勒索病毒带来的安全威胁,360建议广大政企机构建立全面的数字安全防御体系。
作为数字安全的领导者,360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验,以及全球顶级安全专家团队等优势能力,360推出基于安全大模型赋能的勒索病毒防护解决方案,能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀,实现多方位、全流程、体系化、智能化的勒索防护。
让病毒进不来
在终端、流量侧部署360探针产品,通过互联网入口检测阻断等主动防御功能,能够在病毒落地时进行查杀拦截;
让病毒散不开
由360安全大模型支撑,对勒索病毒的异常加密行为和横向渗透攻击行为,进行智能化分析拦截和检测阻断,实现“一点发现,全网阻断”;
让病毒难加密
通过终端安全探针结合云端情报赋能,利用安全大模型的溯源分析能力,能够精准判断勒索病毒身份,并进行反向查杀;同时内置文档备份机制,可无感知备份日常办公文档和敏感业务数据,对备份区文件进行全面保护,不允许第三方程序对备份区进行非授权操作,从而阻断勒索病毒对备份区的加密行为;
加密后易恢复
该方案内置大量360独家文档解密工具及云端解密平台,云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密,能够实现加密后的全方位恢复工作。
目前,360勒索病毒防护解决方案已经实现对该类勒索病毒的拦截,以及对勒索文件的解密及数据恢复服务。同时,针对不同类别的勒索病毒,该方案还根据不同客户体量与需求推出了多元产品及服务套餐,已累计为超万例勒索病毒救援求助提供帮助。
如需咨询相关服务
请联系电话
400-0309-360
往期推荐
|
|||
|
|||
|
|||
|
原文始发于微信公众号(360数字安全):高仿Microsoft 365暗藏勒索陷阱,360全网截杀Montelli威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论