近日,深信服终端安全团队收到一起安全求助,用户反馈其主机文件被加密,加密后缀为”.perfection”。通过安全专家的深入分析,发现这次勒索事件比较特别,虽然只有一种文件加密后缀,然而事实上是中了两种不同的勒索病毒,分别为MedusaLocker和GlobeImposter。
如下为加密现场,可以看到同时有MedusaLocker和GlobeImposter这两种勒索家族的勒索信息,其中GlobeImposter的勒索信息文件已经被加密:
在中毒主机中发现了MedusaLocker和GlobeImposter的勒索病毒文件,分别命名为”perf1.exe”和”perf2.exe”,如下:
下图左侧为MedusaLocker,右侧为GlobeImposter的勒索信息,可以看到其联系邮箱相同:
我们知道,不同家族的勒索病毒由于其加密方式不同,所以解密方式也不相同,多次加密往往会对解密造成更大的困难以及不确定因素,因此会造成更大的危害。
MedusaLocker及GlobeImposter勒索病毒都不具备主动传播行为,通常通过钓鱼邮件、RDP暴破等方式进行传播。在攻击的遗留现场,通过排查日志可以看到攻击方式为RDP暴破,如下为登录成功记录:
同时在中毒主机上发现了多种黑客工具,主要用于内网扫描、窃取密码、关闭防火墙等:
深信服安全团队通过海量勒索病毒攻击事件溯源分析,构建出不同场景勒索病毒攻击画像,其中远程桌面登录是勒索病毒攻击最常用的手段,通常具有以下特点:
-
攻击者通过RDP暴力破解,登录目标主机,登录时段通常为凌晨或节假日等不易被运维人员察觉异常的业务空闲期;
-
通过目标主机进行内网渗透,使用黑客工具对杀毒软件进行安全对抗,即使内网部署了安全软件,也不能确保能够防护攻击者的人工对抗;
-
投放勒索病毒进行加密勒索,勒索病毒可能会做免杀处理,进行安全软件绕过。
由于在成功入侵后攻击者便具有随意操作的自由,因此远程桌面登录防护显得尤为重要。
深信服EDR针对远程桌面登录的勒索病毒攻击场景新增远程登录保护功能,开启后可以配置远程登录保护敏感时间段,在该时间段远程访问服务器需要二次验证:
即使黑客远程桌面登录了服务器,依然需要在如下窗口输入正确的二次验证密码才能进行操作,从源头阻断勒索病毒攻击,有效防御通过远程桌面实施的攻击。
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
您可以通过以下方式联系我们,获取关于该勒索病毒的免费咨询及支持服务:
1)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询;
2)PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询。
本文始发于微信公众号(深信服千里目安全实验室):勒索方式升级,谨防双重加密
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论