谨防“神秘人”勒索病毒X_Mister偷袭
  

SANGFOR_智安全 Lv8发表于 2019-4-28 10:18

一、样本简介
近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister(“神秘人”)勒索病毒,该勒索病毒使用RSA+DES算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行RDP爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。
深信服安全团队第一时间获取到相应的样本,并对样本进行了详细分析。


二、勒索病毒特征
1.勒索信息文本文件HOW TO BACK YOUR FILES.txt,如下所示:
502475cc50a5d67f38.png


2.加密后的文件名,[原文件名]+[Mr-X666],如下所示:
56965cc50a715d05c.png

三、详细分析
1.获取程序执行信息,并在内存中解密相应数据,如下所示:

943045cc50a82ac62a.png



2.进行提权操作,设置进行权限为SeBackupPrivilege、SeRestorePrivilege、SeSecurityPrivilege、SeManageVolumePrivilege,如下所示:
951245cc50a9aec11f.png


3.关闭windows defender的实时防护、行为监控等,如下所示:
958235cc50ab3be59c.png


4.设置为自启动项,实现开机自启动操作,如下所示:
34415cc50ac4e8a30.png


5.遍历设定卷标盘符,如下所示:
258755cc50ad894856.png


6.遍历网络共享目录文件,如下所示:
190915cc50ae72e1e8.png


7.遍历磁盘目录,如下所示:
109125cc50af2a8242.png


8.创建线程遍历共享目录和磁盘目录下的文件,然后创建线程进行加密操作,如下所示:
531085cc50b01bba75.png


9.生成隐藏文件.BFC0E91B00AE8A0620D3,写入相应的勒索相关信息,加密后缀、勒索文本文件名、勒索软件版本号等,如下所示:
443675cc50b1054217.png


10.生成勒索信息文本文件,如下所示:
107675cc50b86476ba.png


11.加密文件操作,加密算法为RSA+DES,如下所示:
650535cc50b996fc69.png


13.加密完成之后,删除自启动注册表项,如下所示:
325505cc50baf9a682.png


14.执行删除磁盘卷影 、删除远程桌面连接信息 、删除日志信息等操作,如下所示:
607345cc50bc149773.png


15.进行自删除操作,如下所示:
935145cc50bd30db36.png


四、 解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
688795cc50bfdb2246.png

病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

厌児 Lv12发表于 2019-5-5 16:14
  
学习了,拿下来慢慢研究
virtualcloud Lv7发表于 2019-5-6 17:26
  
学习!!!!!!!!!支持!!!!!!!!
念友真爱 Lv6发表于 2019-5-10 01:03
  
喜欢EDR,不枉天天社区签到,赶紧下载一个先试试。
熬成婆 Lv3发表于 2019-5-19 21:28
  
使用深信服安全感知,防火墙,EDR,来避免勒索病毒攻击
王延浩 Lv2发表于 2019-5-20 14:56
  
学习了,支持下!
黑色 Lv4发表于 2019-5-20 15:35
  
学习了  慢慢研究
白露为霜 Lv3发表于 2019-5-21 14:57
  
学习了  慢慢研究
新手756451 Lv11发表于 2019-5-21 16:28
  
学习了,慢慢研究

×
有话想说?点这里!
可评论、可发帖

本版版主

48
34
1

发帖

粉丝

关注

本版热帖

本版达人

SANGFOR...

本周分享达人