歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

勒索病毒新玩法:加密鎖屏改密碼,私密文件公開化

來源:本站整理 作者:佚名 時間:2019-11-07 TAG: 我要投稿

近期,深信服安全團隊通過對海外第三方數據樣本的監測,捕獲到勒索病毒Megacortex新型變種。該家族樣本最早出現在今年1月份,并對國外多個行業發起勒索攻擊行為。
該變種相對以往所遇到的勒索病毒,在勒索手法上更為激進:不但加密用戶文件,還會進一步修改Windwos登錄密碼,并在加密完畢后進行鎖屏,更進一步還會威脅受害者,若不繳納贖金則將主機上的文件公開。
一、Megacortex家族
Megacortex勒索病毒是國外較活躍的勒索家族,最初于今年1月份在VirusTotal平臺上被安全研究員發現,并不斷對國外多個行業進行加密勒索攻擊,包括有美國、加拿大、法國和荷蘭等。下圖是Megacortex勒索病毒演進的時間軸:

二、Megacortex變種行為分析
該變種攜帶澳大利亞“MURSA PTY LTD”公司的數字簽名,運行后會在C:\Windows\Temp路徑下釋放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。
lqibfmqkeM5-0.cmd,用于刪除釋放到C:\Windows\Temp路徑的文件。

lqibfmqkeM5-2.cmd,用于刪除磁盤卷影

lM5-990831122.dll,用于遍歷磁盤文件
lM5-685889264.dll,用于加密磁盤文件,加密后綴名為.m3g4c0rtx
在加密完后進行鎖屏,并且修改了用戶登錄密碼:
lcmdline:'net user win oo/yUfojOGfTN2Kh'
 lcmdline:'C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh'

生成勒索信息文本!-!_README_!-!.rtf,并以“若不繳納贖金則公開文件”的形式來威脅受害者,如下圖所示:

三、安全建議
針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。
1、病毒檢測查殺
可下載如下工具,進行檢測查殺
64位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、 病毒防御
深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:
1.及時給電腦打補丁,修復漏洞。
2.對重要的數據文件定期進行非本地備份。
3.不要點擊來源不明的郵件附件,不從不明網站下載軟件。
4.盡量關閉不必要的文件共享權限。
5.更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
6.如果業務上無需使用RDP的,建議關閉RDP。
7.建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。
 

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局