过节不忘提高警惕!圣诞专版病毒FilesLocker2.1勒索国内法院
近日,某公司安全团队跟踪到多个法院用户感染FilesLocker勒索病毒最新版本FilesLocker2.1,该版本专门为庆祝圣诞节而设计命名,中招用户除了系统被加密破坏之外,还有来自勒索作者的节日问候。
▲FilesLocker 2.1版本的勒索界面(圣诞专版)
病毒名称:FilesLocker2.1
病毒性质:勒索病毒
影响范围:国内已有多家法院用户受影响
危害等级:高危
传播方式:通过招揽中间代理传播
病毒分析
01背景介绍
2018年10月,有人在暗网发布FilesLocker勒索病毒合作计划。事后有多家国内安全厂商跟进报道,随即此贴访问量暴涨十倍,之后作者在帖子上更新了报道链接。
FilesLocker是一款代理型勒索软件,勒索病毒制造者只负责制作勒索病毒本身,传播方式通过招中间代理的方式来实现,故传播方式多种多样。其中,最新版本的FilesLocker2.1版本会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸,画面颇为“欢乐喜庆”。
2018年12月31日,作者放出了1.0和2.0版本的私钥,目前国外已有安全人员根据私钥开发出了解密工具。但这并不是作者偃旗息鼓了,最新的2.1圣诞专版更换了新的RSA秘钥对,且暂时没有释放密钥,意味着暂时难以解密,某公司提醒广大用户依然要小心防范。
▲FilesLocker1.0和FilesLocker2.0加密后在浏览器弹出释放的RSA秘钥
02样本分析
2.1版本分析
1、由于作者已经将之前的私钥放出,在2.1版本中,便更新了公钥,如图所示。
▲2.1版本更新公钥
2、随机生成加密文件的AES密钥,使用RSA加密,最后再用base64把密文进行编码。
▲ 加密AES秘钥,并用base64编码密文
3、样本只加密系统盘中指定文件夹和非系统盘中指定文件名后缀名的文件。
▲系统盘指定文件夹
▲ 加密除系统盘之外的其他磁盘
▲ 指定加密的文件后缀名,共367种
3、加密文件使用了AES算法,ECB模式。
▲加密文件代码
▲添加文件名后缀
5、加密阶段完成之后,调用vssadmin.exe删除掉系统卷影副本。
▲删除卷影副本
2.0版本分析
1、2018年11月底,FilesLocker升级到了2.0版本,主体功能没有变化。加密的文件后缀比1.0版本增加了10个。加密以后会从指定链接下载图片并设置为桌面壁纸。
同时,勒索弹窗也做了些改变。
1.0版本分析
2018年10月,作者在暗网发布了合作计划,样本开始出现。1.0版本病毒名字伪装成Windows Update,用以迷惑用户。
▲原始文件名字
1.0版本加密的文件后缀有357种。
▲ 指定加密的文件后缀名,共357种
1.0会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。
▲1.0版本勒索界面
解决方案
解密工具(FilesLocker2.1圣诞专版暂时没有解密工具)
针对FilesLocker1.0和2.0的勒索解密工具下载地址:
http://edr.sangfor.com.cn/tool/FilesLockerDecrypter.zip。
工具使用步骤如下:
1、选择被加密的文件夹
2、选择自己的ID文件(桌面上生成的加密信,中英文都可以)
3、点击Decrypt即可开始解密
病毒检测查杀
1. 某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2. 某公司EDR产品及下一代防火墙、安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
①EDR升级到最新的病毒库可以进行查杀:②SIP需要更新IOC威胁情报库到20190103165226:③AF设备,请确认“IPS漏洞特征识别库”版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本,建议升级至AF8.0.5及以上版本,同时开启杀毒功能,以获取更好的防护效果及更快速的更新能力。
病毒防御
1. 及时给电脑打补丁,修复漏洞。
2. 陌生人发来的陌生文档,邮件不要轻易打开。
3. 对重要的数据文件定期进行非本地备份。
4. 某公司下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,下一代防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
l 某公司下一代防火墙配置步骤:
开启安全功能
针对此次的FilesLocker2.1圣诞特别版勒索病毒防护,SANGFOR AF建议针对【内网主机】,可以开启 “病毒防护功能”功能。针对【对外发布RDP服务的主机】,可以开启“暴力破解”功能,配置如下:
新增开启病毒防护功能的内容安全模板,如下图:
新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:
新增针对“对外发布RDP服务的主机”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”功能,动作选择“拒绝”。配置如下:
l 某公司EDR开启RDP微隔离防护:
配置RDP拒绝的防护策略,源为默认互联网(包括所有的IP网段)开通需要使用服务器远程桌面的终端。
l 某公司EDR开启暴力破解检测功能:
查看或修改终端组已经应用的策略,开启暴力破解功能。
勾选“开启暴力破解实时监测”,点击“确认”提交。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知平台+下一代防火墙+EDR,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系我们,获取关于
FilesLocker的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询