全新勒索病毒更狠毒!国内已经有人中招

来源:www.xjctc.net   时间: 2020-02-04

6月27日晚,欧洲遭遇新一轮未知病毒,这与今年5月爆发的WannaCry病毒非常相似。

目前,受影响最严重的国家是乌克兰,而且已有国内公司。

此外,俄罗斯(俄罗斯石油公司Rosneft),西班牙,法国,英国(全球最大的广告公司WPP),丹麦(航运巨头APMoller-Maersk),印度,美国(DLAPiper律师事务所)也受到影响在不同程度上。

此前,国内安全公司已确认赎金病毒是Petya的一种变种,类似于WannaCry,使用EternalBlue和OFFICEOLE机制漏洞(CVE-2017-0199)进行传播。

然而,卡巴斯基实验室的分析师表示,最新的威胁不是Petya勒索软件的变种,而是一种前所未有的新勒索软件。

虽然这种勒索软件在字符串上类似于Petya,但它的功能完全不同,它被命名为ExPetr。

传播方式

360首席安全工程师郑文斌表示,最新爆发的病毒具有完全自动化的攻击能力,即使计算机已经打补丁,也可能被内网上的其他机器感染。

根据Threat Intelligence 360,用户收到一封电子邮件,其附件标题为“Order-.doc”,这是一个使用CVE-2017-0199漏洞的恶意文件。该漏洞是由“下载恶意程序执行引发的。

外部威胁情报显示勒索软件是第一个从这个恶意程序传播的软件。

据分析,该病毒作者很可能会入侵乌克兰的特殊会计软件me-doc进行初步传播。他们将病毒程序伪装成用户的me-doc升级程序。

由于这是乌克兰要求的官方税务申报软件,乌克兰的大量基础设施,政府,银行和大型企业遭到了攻击。与乌克兰有关的其他投资者和公司也遭到袭击。这显示了赎金病毒。该变体的目标特征是针对具有纳税申请要求的公司单位,这也符合勒索软件的盈利特征。

据360安全中心监测,中国新赎金病毒的主要攻击途径是内网渗透,即使用“管理员共享”功能攻击内网上的其他机器,与“永恒蓝”相比“这一点受到广泛重视。漏洞更具杀伤力。

技术原理

据阿里云安全专家称,勒索软件通过Windows漏洞进行传播,并感染局域网中的其他计算机。当计算机感染勒索软件时,它将使用特定类型的文件进行加密,从而导致计算机出现故障。这种勒索软件主要通过Windows Management Instrumentation(Microsoft Windows Management Instrumentation)和PSEXEC(SMB协议)在Intranet系统中传播。

病毒会加密磁盘主引导记录(MBR),导致系统被锁定并无法正常引导,然后在计算机屏幕上显示勒索提示。如果MBR未成功销毁,病毒将进一步加密文件和视频等磁盘文件。

在研究了病毒样本后,阿里云发现在操作系统被感染后,重启时无法进入系统。下图显示了用于病毒伪装的磁盘扫描程序。

病毒对赎金对象的加密可分为以下七个步骤:

根据安天的消息,该病毒的勒索软件实际上是一个DLL文件。加载文件后,它将遍历用户磁盘文件(C: \ Windows目录除外),并使用指定的后缀名称加密文件。请勿修改原始文件名和扩展名。

此文件修改MBR,同时添加计划任务并在等待一段时间后关闭计算机。当用户打开计算机时,将显示赎金界面和信息,无法访问系统。

与Wannacry的差异

根据雷锋的家庭乘客频道,这种新的勒索软件变种是一个新的勒索软件系列,它利用一系列漏洞进行传播。与5月爆发的WannaCry相比,新的赎金病毒传播速度更快。勒索软件的主要特点是:

勒索软件使用各种方法在内联网上传播攻击,包括在NSA的武器库中使用永恒之蓝,使用永恒浪漫系列的远程攻击武器,以及使用内联网共享。

因此,不仅及时修复NSA武器库漏洞的用户也会受到影响,只要内网中的其他用户受到攻击,已修补的计算机也可能受到攻击。

勒索软件将导致计算机不可用。以前的WannaCry病毒只加密用户文件,但用户的计算机仍然暂时可用,勒索软件会感染用户计算机的启动区域,导致用户的计算机无法正常启动(强制显示勒索信息)。

另外,勒索软件加密文件类型小于WannaCry,有65个,而WannaCry是178个(包括常见文件类型)。

溶液

目前,网络管理员可以监控相关的域名/IP,拦截病毒下载,并收集内部网感染分发:

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

French-cooking.com

此外,您还可以通过以下密钥HASH检查Intranet的感染:

415fe69bfca98faf4118e1

a4daf8eb9660f1c67e30f8b25

A1d5895fdfe67d19cccb51b051a

71b6ae7d0b40c83ce903bc6b04

目前,包括360,腾讯,阿里巴巴云,安迪和金山毒霸在内的主要安全厂商已经推出了初步解决方案。

以下是对受害者的初步建议:

- 勒索者使用的电子邮件已停止访问,不建议支付赎金。

- 所有在IDC托管或自建房间内拥有服务器的公司,如果您拥有Windows操作系统,请立即安装Microsoft补丁。

- 安全补丁对于个人用户来说相对简单。只需自学装载,就可以做到。

- 对于大型企业或组织,面对数百台机器,最好使用客户端进行集中管理。

- 可靠的数据备份可最大限度地减少勒索软件造成的损害。

  • 友情链接:
  • 版权所有© 新疆计算机培训中心 | 新ICP备10201303号-1 | www.xjctc.net . All Rights Reserved | 网站地图