Matrix勒索病毒PRCP变种侵入政企单位，警惕中招

某公司勒索病毒PRCP变种侵入政企单位，警惕中招

近日，某公司安全团队在国内跟踪发现了一新型的病毒变种，确认为某公司勒索病毒PRCP变种，目前已有政企单位感染案例，该勒索变种采用RSA+AES高强度加密算法，将系统中的大部分文档文件加密为PRCP缀名的文件，然后对用户进行勒索。目前无法解密，提醒广大用户警惕，防止中招。

该勒索病毒变种主要通过RDP爆破进行传播，会扫描局域网内主机，会加密局域网共享目录文件夹下的文件，并弹出勒索界面如下：

此次勒索事件，某公司安全专家捕获到了完整病毒样本，并制定了相应的防护措施。

样本分析

某公司勒索病毒PRCP变种整体比较复杂，样本功能可以简化如下：

该病毒变种使用Delphi语言进行编写，相关数据加密会存储到程序资源目录中。为了保证运行唯一，病毒运行后，会先尝试打开互斥变量MutexPRCP，如果打开失败，则创建互斥变量。

获取信息，上传C2服务器：

该病毒变种会获取当前操作系统的语言版本、主机名和用户名等信息，在内存中拼接相应的字符串：

在内存中解密出远程服务器地址，如下所示：

发送相应的主机信息，到远程服务器地址prcp.mygoodsday.org，进行记录，如下所示：

扫描磁盘信息，并打印到输出窗口，然后将磁盘信息，再一次上传到远程服务器。

生成key，删除系统备份：

某公司勒索病毒PRCP变种会通过内置的RSA密钥生成相应的key，如下所示：

接着，会生成BAT文件，删除磁盘卷影等操作，使用户无法通过系统备份恢复数据，如下所示：

生成上面BAT脚本调用的VBS脚本，如下所示：

扫描探测内网，加密网络共享：

        为了对内网最大程度造成破坏，该变种会生成随机命名的备份文件，然后通过参数启动，对内网进行探测，如下所示：

内网共享目录文件扫描过程，如下所示：

生成的随机的BAT文件，如下所示：

调用释放的NTHandler程序，对当前主机进行扫描，如下所示：

加密本地文件，生成勒索信息：

最后，该变种病毒会遍历本地磁盘文件，加密磁盘文件，加密后的文件后缀为.PRCP。

磁盘文件加密完成后，会在本地生成相应的勒索信息文件#README_PRCP#.rtf，相应的内容如下所示：

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

某公司提醒广大用户尽快做好病毒检测与防御措施，防范此次勒索攻击。

病毒检测查杀

1、某公司为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测。

①EDR病毒库更新：

病毒库更新到20190119063912版本，可以对某公司进行查杀。

②SIP更新IOC威胁情报库：

在SIP能上网环境中，可自动更新IOC情况库。更新后如下日期

当SIP不能上网，需要离线更新IOC库，需要先通过以下地址下载最新库文件：http://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

下载后点击手动导入，上传IOC情况库

更新后如下日期：

③AF设备，请确认“IPS漏洞特征识别库”版本，保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

设备版本，建议升级至AF8.0.5及以上版本，同时开启杀毒功能，以获取更好的防护效果及更快速的更新能力。

病毒防御

1、及时给电脑打补丁，修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件，不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

2、如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用某公司防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

某公司EDR开启RDP微隔离防护：

对服务器进行3389端口隔离，只放通需要访问RDP3389端口的业务。

对内网终端的3389端口进行封堵：

放通所有需要访问3389业务的源和对应业务系统。

配置策略如下，策略从上到下进行匹配。

3、某公司防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。

①防火墙配置步骤：

针对此次的某公司勒索病毒PRCP变种防护，某公司 AF建议针对【内网主机】，可以开启 “病毒防护功能”功能。针对【对外发布RDP服务的主机】，可以开启“暴力破解”功能，配置如下：

新增开启病毒防护功能的内容安全模板：

新增针对“内网主机”的防护策略，【策略】——【安全防护策略】——“新增”——“用户防护策略”，开启“内容安全”功能，动作选择“拒绝”。配置如下：

新增针对“对外发布RDP服务的主机”防护策略，【策略】——【安全防护策略】——“新增”——“业务防护策略”，开启“漏洞攻击防护”功能，动作选择“拒绝”。配置如下：

②某公司EDR开启暴力破解检测功能：

查看或修改终端组已经应用的策略，开启暴力破解功能。

勾选“开启暴力破解实时监测”，点击“确认”提交。

8、某公司防火墙客户，建议升级到AF805版本，并开启人工智能引擎Save，以达到最好的防御效果。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用某公司安全感知+防火墙+EDR，对内网进行感知、查杀和防护。

咨询与服务

您可以通过以下方式联系我们，获取关于某公司的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通勒索软件专线）
2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询
3）PC端访问某公司社区 bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

学习了，感谢分享

完全看不懂。哈哈。学习

谢谢，太吓人了~~

感谢楼主的分享学习了呢

高手，厉害6666