流行勒索病毒分析总结(下)

安全资讯 小布 636浏览 0评论

五、常见勒索软件

5.1Sodinokibi/Revil

5.1.1概述

Sodinokibi于2019年4月被发现,与之前GandCrab勒索软件相关,并与其采用相同的传播策略,被称为GandCrab勒索病毒的接班人,之后在全球进行大范围传播,其变种数量众多。

5.1.2常见后缀

随机

5.1.3传播方式

·OracleWeblogicServer漏洞

·RDP攻击

·垃圾邮件

·APT水坑攻击方式

·漏洞利用工具包和恶意广告下载

5.1.4特征

替换桌面背景图片

内存解密配置文件

{

“pk”:””,

“pid”:””,

“sub”:””,

“dbg”:,

“fast”:,

“wipe”:,

“wht”:{

“fld”:[],

“fls”:[],

“ext”:[]

},

“wfld”:[],

“prc”:[],

“dmn”:””,

“net”:,

“nbody”:””,

“nname”:””,

“exp”:,

“img”:””

}

5.1.5勒索信

_readme.txt

5.2Stop

5.2.1概述

Stop主要通过软件捆绑进行传播,并且部分软件会通过远程下载Azorult密码窃取木马到本地,窃取受害者信息。

5.2.2常见后缀

·stop

·puma

·djvu

·tro

·kroput

·promo

·grovas

·nols

5.2.3传播方式

软件捆绑

垃圾邮件

5.2.4特征

复制自身并连接网络下载文件到%appdata%\\GUID目录

5.2.5勒索信

5.2Stop

5.2.1概述

Stop主要通过软件捆绑进行传播,并且部分软件会通过远程下载Azorult密码窃取木马到本地,窃取受害者信息。

5.2.2常见后缀

·stop

·puma

·djvu

·tro

·kroput

·promo

·grovas

·nols

5.2.3传播方式

软件捆绑

垃圾邮件

5.2.4特征

复制自身并连接网络下载文件到%appdata%\\GUID目录

5.2.5勒索信

_readme.txt

49.png

5.3Crysis/Dharma

5.3.1概述

Crysis勒索病毒,又称Dharma。2016年首次被发现,在2017年5月万能密钥被公布,2017年6月之后继续更新,主要采用RDP爆破进行攻击,最新版采用AES+RSA进行加密,不能解密。

5.3.2常见后缀

{id}+勒索邮箱+特定后缀(如.crysis,.xtbl,.java,.crysis,.dharma,.wallet)

5.3.3传播方式

钓鱼邮件

5.3.4特征

在%Startup%、%AppData%和%windir%系统目录存在样本备份

勒索信放于%Startup%和%windir%目录

5.3.5勒索信

邮箱.hta

50.png

5.4Ryuk

5.4.1概述

Ryuk勒索病毒于2018年由国外安全公司披露。相对于其他勒索软件,该家族更倾向于一种定制化的攻击,通过加密网络中的重要资产和资源来勒索赎金。

5.4.2常见后缀

.RYK

5.4.3传播方式

钓鱼邮件

5.4.4特征

横向传播样本,样本放于%Public%目录,文件名随机

在相同目录创建多个隐藏属性文件名随机的副本

5.4.5勒索信

RyukReadMe.html

_readme.txt

49.png

5.3Crysis/Dharma

5.3.1概述

Crysis勒索病毒,又称Dharma。2016年首次被发现,在2017年5月万能密钥被公布,2017年6月之后继续更新,主要采用RDP爆破进行攻击,最新版采用AES+RSA进行加密,不能解密。

5.3.2常见后缀

{id}+勒索邮箱+特定后缀(如.crysis,.xtbl,.java,.crysis,.dharma,.wallet)

5.3.3传播方式

钓鱼邮件

5.3.4特征

在%Startup%、%AppData%和%windir%系统目录存在样本备份

勒索信放于%Startup%和%windir%目录

5.3.5勒索信

邮箱.hta

50.png

5.4Ryuk

5.4.1概述

Ryuk勒索病毒于2018年由国外安全公司披露。相对于其他勒索软件,该家族更倾向于一种定制化的攻击,通过加密网络中的重要资产和资源来勒索赎金。

5.4.2常见后缀

.RYK

5.4.3传播方式

钓鱼邮件

5.4.4特征

横向传播样本,样本放于%Public%目录,文件名随机

在相同目录创建多个隐藏属性文件名随机的副本

5.5Globelmposter

5.5.1概述

Globelmposter勒索病毒首次出现是在2017年5月份,在过去的几年中,对医院以及政企单位进行了大规模勒索事件,其主要通过钓鱼邮件、RDP爆破进行传播,变种数量众多。每年都会有版本更新,截至到目前已经存在1.0、2.0、3.0、4.0、5.0等版本,最近友商纰漏5.1版本正在传播。

5.5.2常见后缀

·TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、BUNNY+、ARA、WALKER、XX、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、

·Ox4444、Snake4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444、Horse4444、Goat4444、Rooster4444、Dog4444、Pig4444

auchentoshan、makkonahi

·Ares666、Zeus666、Aphrodite666、Apollon666、Poseidon666、Artemis666、Dionysus666、Persephone666、Hephaestus666、Hestia666、Athena666

·C4H、.IQ0005、lockfiles

5.5.3传播方式

钓鱼邮件

RDP

5.5.4特征

在%LOCALAPPDATA%或者%APPDATA%存在样本备份,并通过注册实现自启动;

在%public%存在用户ID以及rsa公钥文件;

在%temp%存在bat脚本文件用于环境清理;

5.5.5勒索信

how_to_back_files.html

5.6Buran

5.6.1概述

Buran勒索病毒自2019年9月开始传入我国。早期该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。

5.6.2常见后缀

.Buran、.{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}、.xxx-xxx-xxx等

5.6.3传播方式

垃圾邮件

RDP

5.6.5特征

进程可带参数启动,参数为-agent0、-start;

拷贝自身到%Appdata%\Microsoft\Windows文件下,并随机命名;

5.6.6勒索信

!!!ALLYOURFILESAREENCRYPTED!!!.TXT

5.7NetWalker

5.7.1概述

NetWalker与2019年9月出现,其幕后创建者为以俄语为母语的的团体组织,以CircusSpider名称提供RaaS服务,隶属MummySpider成员。

5.7.2常见后缀

随机

5.7.3传播方式

钓鱼邮件

5.7.4特征

存放于%ProgramFiles%\randomname\randomname.exe或者%Appdata%\randomname\randomname.exe

内存存在配置文件:

{

“mpk”:,

“mode”:,

“spsz”:,

“thr”:,

“namesz”:,

“idsz”:,

“pers”:,

“onion1”:,

“onion2”:,

“lfile”:”{id}Readme.txt”,

“lend”:””,

“white”:{

“path”:[],

“file”:[],

“ext”:[]},

“kill”:{

“use”:,

“prc”:[],

“svc”:[],

“svcwait”:,

“task”:[]},

“net”:{[],

“prc”:[]}

}

5.7.5勒索信

USERID-Readme.txt

六、勒索软件的趋势

从榜首起勒索事情被纰漏,通过时间的洗礼,勒索软件正在一步步进化。当时的勒索事情背后从开发到销售到进犯,早已成为一个供销清楚的产业链,尽管人们一直在想方设法遏止其开展,但是不可否认的是这条产业链规划不仅没有缩小反而越来越盛行,形式越来越多样。勒索软件在今后的开展中何去何从。

对于政企单位来说,因为其数据价值高,影响广泛,依旧会被勒索软件所针对,其勒索事情日后也会只增不减,并且赎金价值也会越来越大。在最近一年,纰漏的了一大批缝隙东西包,浸透进犯东西,这让进犯者在对指定目标进犯时愈加荫蔽,手法也会愈加高明。其精准化,复杂化,定制化,流程化将会是针对政企单位进犯的一大特色。如果公司内部没有做好相应的防范措施,及时更新很可能会遭受进犯。

除了基于个人电脑等传统企业外,IOT设备的勒索进犯很可能成为下一个主流进犯面。尽管IOT设备的勒索进犯在2016年已经被提及,但即使这几年勒索事情频发,针对IOT设备的勒索进犯仍是相对来说比较少的。如今,跟着5G技术的遍及,万物互联的时代也一步步改动我们的日子。智能摄像头、智能冰箱、家具、电灯等物联网设备越来越多,占有人们日子比重越来越大。相信在不久的将来,物联网勒索也会成为一个重要的进犯面。

如上面所说,勒索的同时很可能会形成数据的泄露,尽管进犯者确保缴纳赎金会销毁数据,可是跟着勒索事情越来越多,当这块蛋糕变的越来越小时,即使受害者缴纳赎金,其勒索得到的数据也很可能会变成在线商品进行出售,从而获取利益最大化。

在针对个人勒索,比较于企业公司而言,数据价值相对较小,勒索成功率较低。可是近期勒索软件针对个人的勒索方式也不在局限于数据的勒索,对于个人隐私的勒索也越来越多,通过裸聊软件进行录屏等方式进行隐私勒索,此类勒索事情越来越多,比较于数据勒索该种方式的勒索成功率要高得多。并且很可能让犯罪者进行持续勒索。

七、勒索响应措施

7.1感染迹象

勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

7.2应急处理

7.2.1物理隔离

·强制关机和关闭网络

·关闭网络包括拔网线、禁网卡笔记本禁用无线网络

7.2.2访问控制

加策略防止其他主机接入,关闭感染主机开放端口如445、3389等,修改感染主机及同局域网下所有主机密码,

7.2.3主机加固

对未受感染主机进行加固处理,包括:

1.登录密码采用强密码(大小写字母、数字、特殊符号混合,长度为15+)

2.更新系统补丁,更新应用软件到到最新版本

7.2.4保护现场

当以上措施结束之后,尽量不要在操作受感染主机,等待相关专业人员进行处理。

7.3加密数据处理

当数据被加密,如何对数据进行恢复。一般情况数据恢复存在以下途径。

7.3.1备份恢复

利用备份数据恢复是当时数据康复途径中最有效本钱最低的康复方式,所以如果在固定的工作周期及时进行备份,这时就可以轻松应对。但是在康复时必定要注意被感染机器的勒索病毒铲除洁净,最好是格式化磁盘或许重装系统并及时修复系统漏洞,确保安全之后在康复备份,防止二次感染。

7.3.2解密工具

使用网上供给的解密东西进行修复,在一些特定状况下,如勒索软件经过读取文件副本加密然后删去原文件的方式,如果原文件内存未被掩盖,或许勒索软件尚未加密完成,及时发现后强制关机。部分文件未加密,这些状况都有几率成功恢复。

也能够使用许多在线解密的网站的解密东西。经过公开的密钥进行解密,其密钥获取首要的办法为以下四种办法:

1.勒索软件本身算法存在缺陷,内存中可找到密钥;

2.攻击者服务器比较脆弱,通过攻陷服务器,获取解密密钥;

3.多国联合执法,通力合作,抓捕攻击者获取密钥并公开发布;

4.攻击者自己良心发现,公开密钥。

7.3.3支付赎金

假如加密数据过于重要且无法免费解密,不得不交纳赎金时,也需求留意,由于有部分勒索软件自身存在缺点无法进行解密,即使交纳赎金也无法恢复。另外一般赎金的类型为加密钱银如比特币、达世币等,与法币买卖不同,最好是找相关的安全专家进行综合判别之后,在确认是否交纳赎金。否则假如盲目交钱,很可能最后人才两空。

7.3.4重装系统

如果数据不重要或者通过上述方法解密成功之后并对数据做好备份之后,一定要重装主机系统,及时更新补丁等,防止二次勒索。

八.日常防范

现在勒索病毒的勒索形式不断变化,一旦中招,想要无损解密相对来说比较困难。所以,勒索病毒主要还是预防为主,通过周期性的安全培训,增强人们的安全意识。做到未雨而绸缪,防止临渴而掘井。

1.使用大小写字母、数字、特殊符号混合长度15+的强密码作为登录密码,并定期进行修改;

2.及时更新系统补丁,将应用软件更新到最新版本;

3.及时备份重要文件;

4.适当安装反病毒软件,及时更新病毒库;

5.不要随意运行邮件附件和未知可执行程序。对于不确定的文件,可以放入沙箱,如s.threatbook.cn或any.run;

6.不访问不安全的连接;

7.没有特殊要求,应尽可能关闭3389、445等端口。

—-

转载请注明:布尔云安的博客 » 流行勒索病毒分析总结(下)

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址