本文为“流行勒索病毒分析总结”下篇。
目录
1. 概述
3. 勒索软件发展历程
3.2 非对称加密
3.3 加密货币兴起
3.4 RaaS
3.5 双重破坏
4. 勒索软件TTPS
4.2 横向移动
4.3 扩大影响(上篇结束于此)
5.常见勒索软件
5.2 Crysis/Dharma
5.3 Globelmposter
5.4 Buran
5.5 NetWalker
6. 勒索软件的趋势
7. 勒索软件响应措施
7.2 应急处理
7.3 加密数据处理
8. 日常防范
5.1 Sodinokibi/Revil
5.1.1 概述
Stop主要通过软件捆绑进行传播,并且部分软件会通过远程下载 Azorult 密码窃取木马到本地,窃取受害者信息。
5.1.2 常见后缀
-
stop
-
puma
-
djvu
-
tro
-
kroput
-
promo
-
grovas
-
nols
-
软件捆绑 -
垃圾邮件
5.1.4 特征
复制自身并连接网络下载文件到 %appdata%\GUID 目录
_readme.txt
5.2 Crysis/Dharma
5.2.2 常见后缀
.RYK
钓鱼邮件
5.2.5 勒索信
RyukReadMe.html
5.3.1 概述
5.3.2 常见后缀
TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、GRANNY、BUNNY+、BIG、ARA、WALKER、XX、BONUM、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、PLIN
Ox4444、Snake4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Horse4444、Goat4444 、onkey4444 、Rooster4444 、Dog4444 、Pig4444
auchentoshan、makkonahi
Ares666、Zeus666、Aphrodite666、Apollon666、Poseidon666、Artemis666、Dionysus666、Hades666、Persephone666、Hephaestus666、Hestia666、Athena666
C4H、.IQ0005、lockfiles
5.3.3 传播方式
钓鱼邮件
RDP
5.3.4 特征
在%LOCALAPPDATA%或者%APPDATA%存在样本备份,并通过注册实现自启动;
在%public%存在用户ID以及rsa公钥文件;
在%temp%存在bat脚本文件用于环境清理;
5.3.5 勒索信
how_to_back_files.html
5.4 Buran
5.4.1 概述
Buran 勒索病毒自2019年9月开始传入我国。早期该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。
5.4.2 常见后缀
.Buran、.{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}、.xxx-xxx-xxx等
5.4.3 传播方式
垃圾邮件
RDP
5.4.4 特征
进程可带参数启动,参数为 -agent 0、-start;
拷贝自身到%Appdata%MicrosoftWindows文件下,并随机命名;
5.4.5 勒索信
!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
5.5.1 概述
NetWalker 与2019年9月出现,其幕后创建者为以俄语为母语的的团体组织,以 Circus Spider 名称提供RaaS服务,隶属Mummy Spider成员。
5.5.2 常见后缀
随机
5.5.3 传播方式
钓鱼邮件
5.5.4 特征
存放于%Program Files%randomnamerandomname.exe或者%Appdata%randomnamerandomname.exe
内存存在配置文件:
{
"mpk":,
"mode":,
"spsz":,
"thr":,
"namesz":,
"idsz":,
"pers":,
"onion1":,
"onion2":,
"lfile":"{id}Readme.txt",
"lend":"",
"white":{
"path":[],
"file":[],
"ext":[]},
"kill":{
"use":,
"prc":[],
"svc":[],
"svcwait":,
"task":[]},
"net":{[],
"prc":[]}
}
5.5.5 勒索信
USERID-Readme.txt
勒索软件的趋势
第一起勒索事件被纰漏,经过时间的洗礼,勒索软件正在一步步进化。当前的勒索事件背后从开发到销售到攻击,早已成为一个供销分明的产业链,虽然人们一直在想方设法遏制其发展,但是不可否认的是这条产业链规模不仅没有缩小反而越来越流行,形式越来越多样。勒索软件在以后的发展中何去何从。
除了基于个人电脑等传统企业外,IOT设备的勒索攻击很可能成为下一个主流攻击面。虽然IOT设备的勒索攻击在2016年已经被提及,但即使这几年勒索事件频发,针对 IOT 设备的勒索攻击还是相对来说比较少的。如今,随着5G技术的普及,万物互联的时代也一步步改变我们的生活。智能摄像头、智能冰箱、电灯等物联网设备越来越多,占据人们生活比重越来越大。相信在不久的将来,物联网勒索也会成为一个重要的攻击面。
如上文所说,勒索的同时很可能会造成数据的泄露,虽然攻击者保证缴纳赎金会销毁数据,但是随着勒索事件越来越多,当这块蛋糕变的越来越小时,即使受害者缴纳赎金,其勒索得到的数据也很可能会变成在线商品进行出售,从而获取利益最大化。
在针对个人勒索,相比于企业公司而言,数据价值相对较小,勒索成功率较低。但是近期勒索软件针对个人的勒索形式也不局限于数据的勒索,对于个人隐私的勒索也越来越多,通过裸聊软件进行录屏等形式进行隐私勒索,此类勒索事件越来越多,相比于数据勒索该种形式的勒索成功率要高得多。并且很可能让犯罪者进行持续勒索。
勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
7.2.1 物理隔离
-
强制关机和关闭网络 -
关闭网络包括拔网线、禁网卡笔记本禁用无线网络
7.2.2 访问控制
加策略防止其他主机接入,关闭感染主机开放端口如445、3389等,修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。
7.2.3 确认损失
查看感染主机数量,根据感染特征,排查未感染主机,统计受损情况并列出清单。
7.2.4 主机加固
对未受感染主机进行加固处理,包括:
1. 登录密码采用强密码(大小写字母、数字、特殊符号混合,长度为15+)
2. 更新系统补丁,更新应用软件到最新版本
当以上措施结束之后,尽量不要再操作受感染主机,等待相关专业人员进行处理。
当数据被加密,如何对数据进行恢复。一般情况数据恢复有以下途径。
7.3.1 备份恢复
利用备份数据恢复是当前数据恢复途径中最有效成本最低的恢复方式,所以如果在固定的工作周期及时进行备份,这时就可以轻松应对。但是在恢复时一定要注意将被感染机器的勒索病毒清除干净,最好是格式化磁盘或者重装系统并及时修复系统漏洞,保证安全之后再恢复备份,防止二次感染。
7.3.2 解密工具
利用网上提供的解密工具进行修复,在一些特定情况下,如勒索软件通过读取文件副本加密然后删除原文件的方式,如果原文件内存未被覆盖,或者勒索软件尚未加密完成,及时发现后强制关机。部分文件未加密,这些情况都有几率成功恢复。
也可以使用很多在线解密网站的解密工具。通过公开的密钥进行解密,其密钥获取主要的方法为以下四种方法:
1.勒索软件本身算法存在缺陷,内存中可找到密钥;
2.攻击者服务器比较脆弱,通过攻陷服务器,获取解密密钥;
3.多国联合执法,通力合作,抓捕攻击者获取密钥并公开发布;
4.攻击者自己良心发现,公开密钥。
7.3.4 重装系统
现在勒索病毒的勒索形式不断变化,一旦中招,想要无损解密相对来说比较困难。所以,勒索病毒主要还是预防为主,通过周期性的安全培训,增强人们的安全意识。做到未雨而绸缪,防止临渴而掘井。
1.使用大小写字母、数字、特殊符号混合长度15+的强密码作为登录密码,并定期进行修改;
2. 及时更新系统补丁,及时更新应用软件到最新版本;
3. 对重要文件及时备份;
4. 适当安装反病毒软件,及时更新病毒库;
5.不随便运行邮件附件、未知可执行程序,对于不确定文件,可放入沙箱如s.threatbook.cn 或 any.run 等;
6. 不访问不安全连接;
7. 无特别需求,应尽量关闭3389、445等端口。
- END -
公众号内回复“RS”,可查看完整报告。
关于微步在线研究响应团队
内容转载与引用
本文始发于微信公众号(微步在线研究响应中心):专题报告 | 流行勒索病毒分析总结(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论