安基網 首頁 資訊 安全報 查看內容

安全預警:Buran勒索病毒傳入我國,用戶宜小心處理不明郵件

2019-10-11 11:41| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 騰訊安全御見威脅情報系統捕獲到一款通過郵件向用戶投遞附帶惡意宏的word文檔,若用戶下載郵件附件,啟用宏代碼,就會下載激活勒索病毒,導致磁盤文件被加密。該勒索病毒會在注冊表和加密文件中寫入“buran”字符串 ...

導語:騰訊安全預警:Buran勒索病毒傳入我國,用戶宜小心處理不明郵件

一、 概述

騰訊安全御見威脅情報系統捕獲到一款通過郵件向用戶投遞附帶惡意宏的word文檔,若用戶下載郵件附件,啟用宏代碼,就會下載激活勒索病毒,導致磁盤文件被加密。該勒索病毒會在注冊表和加密文件中寫入“buran”字符串,故命名為buran勒索病毒。

根據騰訊安全御見威脅情報中心的監測數據,該勒索病毒的感染主要在境外,有個別案例已在國內出現,騰訊安全專家提醒中國用戶小心處理來歷不明的郵件,不打開陌生人發送的用途不明的Office文檔,不要啟用宏功能。

二、 詳細分析

1、word附件

用戶打開word文檔,惡意宏代碼會從hxxp://54.39.233.131/word1.tmp處下載勒索病毒到C:/Windows/Temp/sdfsd2f.rry運行,word文檔內容、宏代碼如下圖:

2、勒索病毒樣本(sdfsd2f.rry)

使用WinInet函數訪問geoiptool.com、iplogger.com地址獲取受害機的IP地址信息;

調用cmd程序復制樣本到C:Documents and SettingsAdministratorApplication DataMicrosoftWindowslsass.exe,并置注冊表run鍵開機啟動;

使用ShellExecuteW( )函數,參數"C:Documents and SettingsAdministratorApplication DataMicrosoftWindowslsass.exe" -start啟動樣本;

調用cmd程序刪除sdfsd2f.rry樣本;

3、lsass.exe進程

調用cmd程序禁用系統自動修復功能、刪除系統備份、刪除RDP連接歷史記錄、清空Application、Security、System日志,關閉日志服務開機啟動;

注冊表保存公鑰key、受害機id;

再次創建lsass.exe進程,參數C:Documents and SettingsAdministratorApplication DataMicrosoftWindowslsass.exe -agent 1,遍歷磁盤文件,加密用戶數據;

為每一個文件生成256位key,使用AES-256-CBC加密文件;

生成密鑰對RSA-512,公鑰用來加密256位key,內容存放到文件中;

私鑰被注冊表中的RSA公鑰加密存放文件中;

以下后綴名文件會被跳過;

文件開頭寫入“BURAN”標志,防止文件被重復加密;

文件內容被加密后,使用代表受害機ID的后綴重命名文件;

生成勒索信息;

彈出勒索信息;

調用cmd程序刪除lsass.exe樣本;

國外論壇某用戶花了3000$才恢復了所有數據;

三、 安全建議

企業用戶針對該病毒的重點防御措施:

1、對重要文件和數據(數據庫等數據)進行定期非本地備份,可啟用騰訊電腦管家或騰訊御點內置的文檔守護者功能,利用磁盤冗余空間自動備份文檔;

2、教育終端用戶謹慎下載陌生郵件附件,若非必要,應禁止啟用Office宏代碼。

企業用戶通用的防病毒擴散方法:

  1. 盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。
  2. 盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
  3. 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理。
  4. 對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。
  5. 在終端/服務器部署專業安全防護軟件。

IOC

MD5:

4ac964a4a791864163476f640e460e41

f9190f9c9e1f9a8bd61f773be341ab91

328690b99a3fc5f0f2a98aa918d71faa

f4cb791863f346416de39b0b254e7c5e

cfab38b5c12a8abcbdadfc1f5ac5c37d

99837e301d8af9560a4e6df01a81dc39

IP:

54.39.233.131

URL:

hxxp://54.39.233.131/word1.tmp

以上全部數據來源互聯網,如有侵權,請及時與我們聯系,我們將進行刪除,謝謝



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6746170206831247880/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧