安基網 首頁 資訊 安全報 查看內容

勒索病毒預警:MedusaLocker勒索病毒分析及防御措施

2019-11-1 09:56| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 1 惡意代碼信息名稱:Trojan.DelShad.if類型:勒索病毒MD5:d54fa56f495571d8000ced3fefccf2a7SHA1:e4f65eba10cc0dc840549dc3ec5212e015564b1b文件類型:PE 32位文件大小:676,864 字節傳播途徑:無主動傳播途徑影響系統:windows xp及以上2 惡意代碼概況近日,江民赤豹安全實驗室捕獲到MedusaLocker ...

1 惡意代碼信息

名稱:Trojan.DelShad.if

類型:勒索病毒

MD5:d54fa56f495571d8000ced3fefccf2a7

SHA1:e4f65eba10cc0dc840549dc3ec5212e015564b1b

文件類型:PE 32位

文件大小:676,864 字節

傳播途徑:無主動傳播途徑

影響系統:windows xp及以上

2 惡意代碼概況

近日,江民赤豹安全實驗室捕獲到MedusaLocker勒索病毒樣本。該病毒從2019年10月份開始在國內傳播,目前國內已有多家企業遭受此病毒攻擊。Medusa Ransom勒索病毒的名字起源于古希臘神話“美杜莎”,分析過程發現,該病毒的多個版本被泄露了出來,其中包括了黑客開發過程中的Debug版本。該病毒主要通過攻擊者暴力破解遠程桌面口令后手動運行感染,并且會遍歷本地以及網絡共享磁盤,使用RSA+AES方式加密數據文件,故在無相應私鑰的情況下無法解密,危害性較高。

3 手工清除方法

結束名為svchostt.exe的進程,刪除計劃任務庫根目錄中名為“svchostt”的任務,刪除本地svchostt.exe文件,刪除6.3增加的注冊表項。

4 應對措施及建議

面對惡意攻擊我們除做好準備工作外,還需要及時采取高防措施,保護平臺業務穩定發展不受影響。

1. 安裝江民殺毒軟件病毒更新病毒庫。

2. 對不必要的機器關閉遠程桌面服務。

3. 對需要遠程桌面服務的機器使用強密碼,且兩兩不同。

4. 病毒會排除對.rdp文件的加密,若中毒機器本地保存著對其他機器的rdp連接密碼,則應對中毒的機器應立即隔離。

5. 由于攻擊者多為遠程手動投毒,那么意味著即便安裝了安全軟件,攻擊者也能手動結束安全軟件,除非在安全軟件上設定了更改驗證密碼。

6. 禁用Guest賬戶。

7. 檢測系統和軟件中的安全漏洞,及時更新補丁。

5 行為摘要

5.1 文件行為

創建C:UsersAdministratorAppDataRoamingsvchostt.exe病毒文件

全盤遍歷加密除指定后綴名之外的文件。

5.2 進程行為

創建“{8761ABBD-7F85-42EE-B272-A76179687C63}”互斥體

創建名為“svchostt”的計劃任務

通過cmstplua COM接口提權

停止以下服務:wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,sqlwriter,msmdsrv,tomcat6,zhudongfangyu,SQLADHLP,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8

重啟以下服務以使得更改立即生效:

LanmanWorkstation

結束以下進程:

wxServer.exe,wxServerView,sqlservr.exe,sqlmangr.exe,RAgui.exe,supervise.exe,Culture.exe,RTVscan.exe,Defwatch.exe,sqlbrowser.exe,winword.exe,QBW32.exe,QBDBMgr.exe,qbupdate.exe,QBCFMonitorService.exe,axlbridge.exe,QBIDPService.exe,httpd.exe,fdlauncher.exe,MsDtSrvr.exe,tomcat6.exe,java.exe,360se.exe,360doctor.exe,wdswfsafe.exe,fdlauncher.exe,fdhost.exe,GDscan.exe,ZhuDongFangYu.exe

執行以下命令,刪除系統備份,禁用系統恢復功能等:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

wbadmin DELETE SYSTEMSTATEBACKUP

wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

wmic.exe SHADOWCOPY /nointeractive

5.3 注冊表行為

修改“HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem” 下“EnableLUA”值為0(UAC窗口不再提示), 設置“ConsentPromptBehaviorAdmin”值為0(運行程序需要提權時不再需要輸入憑證)

先修改“HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”下“EnableLinkedConnections”值為1(強制局域網共享的硬盤在本地創建符號鏈接,便于后續遍歷加密)

創建HKCUSOFTWAREMedusa下“Name”值為“svchostt.exe”,為本程序名

5.4 網絡行為

向本機地址發送ICMP包

6 詳細分析報告

1. 嘗試打開名為"{8761ABBD-7F85-42EE-B272-A76179687C63}"的互斥體,若成功,代表已有勒索病毒運行,本進程退出;若無,本進程繼續運行:

2. 檢測本進程是否具有管理員權限,若無,則通過cmstplua COM接口提權:

3. 創建注冊表項:

4. 初始化加密相關函數,使用RSA+AES方式,得到本機識別id,創建勒索html文件,并填入本機識別id:

這也意味著被加密的文件在無私鑰的情況下無法解密

5. 創建病毒的持久化機制,即添加計劃任務,這里通過CLSID_TaskScheduler COM接口添加,任務名為“svchostt”:

6. 停止并刪除指定服務,避免后續結束進程后進程重啟,服務列表見進程行為部分:

7. 終止指定進程,避免后續加密文件時進程占用,進程列表見進程行為部分:

8. 終止本機的恢復機制等,包括清空回收站,刪除系統備份等:

9. 設置注冊表"EnableLinkedConnections"值為1,后重啟“LanmanWorkstation”服務,使得更改立即生效,該更改的效果為使得局域網共享磁盤在本地創建符號鏈接,使得后續遍歷磁盤時能夠遍歷到,便于加密:

10. 準備用于加密的目錄,除了遍歷得到目錄外,還有預設嘗試的重要目錄:

11. 開始加密:

加密會避過以下格式文件:

排除.encrypted以避免重復加密,另外,需要注意的是,作者避免了對.rdp格式文件的加密,這樣就可以使得攻擊者由保存的rdp密碼繼續攻擊其他機器,務必注意!

7 附錄(IOCs)

7.1 HASH

d54fa56f495571d8000ced3fefccf2a7

7.2 C&C



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6753807204479926797/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧