过节不忘提高警惕!圣诞专版病毒FilesLocker2.1勒索国内法院
  

SANGFOR_智安全 Lv8发表于 2019-1-4 17:42

本帖最后由 SANGFOR_智安全 于 2019-1-4 17:42 编辑

过节不忘提高警惕!圣诞专版病毒FilesLocker2.1勒索国内法院

图片2.jpg
近日,深信服安全团队跟踪到多个法院用户感染FilesLocker勒索病毒最新版本FilesLocker2.1,该版本专门为庆祝圣诞节而设计命名,中招用户除了系统被加密破坏之外,还有来自勒索作者的节日问候。
图片3.jpg
▲FilesLocker 2.1版本的勒索界面(圣诞专版)
病毒名称FilesLocker2.1
病毒性质:勒索病毒
影响范围国内已有多家法院用户受影响
危害等级高危
传播方式通过招揽中间代理传播
病毒分析
01背景介绍
201810月,有人在暗网发布FilesLocker勒索病毒合作计划。事后有多家国内安全厂商跟进报道,随即此贴访问量暴涨十倍,之后作者在帖子上更新了报道链接。
图片4.jpg
FilesLocker是一款代理型勒索软件,勒索病毒制造者只负责制作勒索病毒本身,传播方式通过招中间代理的方式来实现,故传播方式多种多样。其中,最新版本的FilesLocker2.1版本会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸,画面颇为欢乐喜庆
20181231日,作者放出了1.02.0版本的私钥,目前国外已有安全人员根据私钥开发出了解密工具。但这并不是作者偃旗息鼓了,最新的2.1圣诞专版更换了新的RSA秘钥对,且暂时没有释放密钥,意味着暂时难以解密,深信服提醒广大用户依然要小心防范。
图片5.jpg
▲FilesLocker1.0FilesLocker2.0加密后在浏览器弹出释放的RSA秘钥
02样本分析
2.1版本分析
1、由于作者已经将之前的私钥放出,在2.1版本中,便更新了公钥,如图所示。
图片6.png
▲2.1版本更新公钥
2、随机生成加密文件的AES密钥,使用RSA加密,最后再用base64把密文进行编码。
图片7.png
加密AES秘钥,并用base64编码密文
3、样本只加密系统盘中指定文件夹和非系统盘中指定文件名后缀名的文件。
图片8.jpg
▲系统盘指定文件夹
图片9.png
加密除系统盘之外的其他磁盘
图片10.jpg
指定加密的文件后缀名,共367
3、加密文件使用了AES算法,ECB模式。
图片11.png
▲加密文件代码
4、加密完成后会在文件名后面添加后缀.[fileslocker@pm.me]
图片12.png
▲添加文件名后缀
5、加密阶段完成之后,调用vssadmin.exe删除掉系统卷影副本。
图片13.png
▲删除卷影副本
2.0版本分析
1201811月底,FilesLocker升级到了2.0版本,主体功能没有变化。加密的文件后缀比1.0版本增加了10个。加密以后会从指定链接下载图片并设置为桌面壁纸。
图片14.png
同时,勒索弹窗也做了些改变。
图片15.jpg
1.0版本分析
201810月,作者在暗网发布了合作计划,样本开始出现。1.0版本病毒名字伪装成Windows Update,用以迷惑用户。
图片16.png
▲原始文件名字
1.0版本加密的文件后缀有357种。
图片17.jpg
指定加密的文件后缀名,共357
1.0会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。
图片18.jpg
▲1.0版本勒索界面
解决方案
解密工具FilesLocker2.1圣诞专版暂时没有解密工具)
针对FilesLocker1.02.0的勒索解密工具下载地址:
http://edr.sangfor.com.cn/tool/FilesLockerDecrypter.zip
工具使用步骤如下:
1、选择被加密的文件夹
图片19.png
2、选择自己的ID文件(桌面上生成的加密信,中英文都可以)
图片20.png
3、点击Decrypt即可开始解密
图片21.png
病毒检测查杀
1.   深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2.    深信服EDR产品及下一代防火墙、安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
①EDR升级到最新的病毒库可以进行查杀:
图片22.png
②SIP需要更新IOC威胁情报库到20190103165226
图片23.png
③AF设备,请确认“IPS漏洞特征识别库”版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片24.png
设备版本,建议升级至AF8.0.5及以上版本,同时开启杀毒功能,以获取更好的防护效果及更快速的更新能力。
病毒防御
1.   及时给电脑打补丁,修复漏洞。
2.   陌生人发来的陌生文档,邮件不要轻易打开。
3.   对重要的数据文件定期进行非本地备份。
4.   深信服下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,下一代防火墙开启此功能并启用110800511108002711080016规则,EDR开启防爆破功能可进行防御。
l 深信服下一代防火墙配置步骤:
开启安全功能
针对此次的FilesLocker2.1圣诞特别版勒索病毒防护,SANGFOR AF建议针对【内网主机】,可以开启 “病毒防护功能”功能。针对【对外发布RDP服务的主机】,可以开启“暴力破解”功能,配置如下:
新增开启病毒防护功能的内容安全模板,如下图:
图片25.png
新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:
图片26.png
图片27.png
图片28.png
新增针对“对外发布RDP服务的主机”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”功能,动作选择“拒绝”。配置如下:
图片29.png
图片30.png
图片31.png
l 深信服EDR开启RDP微隔离防护:
配置RDP拒绝的防护策略,源为默认互联网(包括所有的IP网段)
图片32.png
开通需要使用服务器远程桌面的终端。
图片33.png
图片34.png
l 深信服EDR开启暴力破解检测功能:
查看或修改终端组已经应用的策略,开启暴力破解功能。
图片35.png
勾选“开启暴力破解实时监测”,点击“确认”提交。
图片36.png
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知平台+下一代防火墙+EDR,对内网进行感知、查杀和防护。

咨询与服务
您可以通过以下方式联系我们,获取关于
FilesLocker的免费咨询及支持服务:
1拨打电话400-630-64306号线(已开通勒索软件专线)
2关注深信服技术服务微信公众号,选择智能服务菜单,进行咨询
3PC端访问深信服区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

dx674643176 Lv3发表于 2019-1-7 09:14
  
学习了,感谢分享!目前在用了很多深信服设备,一些危险端口都进行了封堵,所以没有受到病毒的影响。
yl2352 Lv11发表于 2019-1-8 08:52
  
说得对啊。感谢分享!
Dawn__wcx Lv2发表于 2019-1-8 11:45
  
感谢分享
新手897925 Lv3发表于 2019-1-9 11:24
  
学习学习!
15106296861 Lv3发表于 2019-1-9 11:55
  
这技术含量还是比较高的
新手915440 Lv5发表于 2019-1-10 09:10
  
真棒,感谢分享
鬼子姜 Lv5发表于 2019-1-10 09:17
  
真棒,感谢分享
adds Lv22发表于 2019-1-10 20:38
  
黑客危险,但只要安全意识高,风险是可防御的。
新手915440 Lv5发表于 2019-1-10 21:16
  
赞赞赞赞