×

警惕x3m勒索病毒——CryptON
  

SANGFOR_智安全 2780

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-5-14 09:52 编辑

一、样本简介


    CryptON勒索病毒最早出现在2017年2月份左右,曾有多家企业遭到攻击,近日某公司安全服团队接收客户反馈,主机被加密勒索,加密后缀为x3m,经过跟踪分析,拿到了相应的样本,确认样本为CryptON勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。


二、勒索特征
1.加密后的文件后缀为id-[数字]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m,如下所示:



2.勒索信息图片信息CVZRPKPA59ZMCHK9B.bmp,如下所示:



3.勒索超文本文件信息### HOW TO DECRYPT FILES ###.html,如下所示:


三、详细分析


1.通过解密函数,获取部分函数地址,如下所示:


2.在内存中解密出相应的勒索信息相关数据,如下所示:



解密出来的数据,如下:


3.通过多个解密函数,获取函数地址,如下所示:


4.获取主机APPDATA、LOCALAPPDATA、USERNAME、USERPROFILE变量值,如下所示:


5.判断进程运行权限是否为管理员权限,如下所示:



6.获取主机区域信息,如下所示:




如果主机区域为:RU(俄罗斯联邦)、KZ(哈萨克斯坦)、BY(白俄罗斯)、UA(乌克兰),则退出程序,如下所示:




7.设置自启动注册表项,如下所示:




8.判断主机是否联网,如果不联网,则退出程序,如下所示:



然后再生成一个[原文件]+[bat]的批处理文件,进行自删除操作,如下所示:



批处理内容,如下所示:


9.创建互斥变量,防止程序多次运行,如下所示:


10.创建线程,加密文件,如下所示:


11.创建线程,获取主机相关信息,上传到远程服务器,如下所示:

12.读取资源文件ID号CVZRPKPA59ZMCHK9T的数据,如下所示:


解密出资源的数据,然后写入到生成的勒索信息超文件本件,如下所示:


13.遍历磁盘目录文件,如下所示:



枚举共享目录文件,如下所示:


14.加密文件,如下所示:



加密后的文件,后缀名为id-[数字]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m,如下所示:



15.将资源ID为CVZRPKPA59ZMCHK9T的数据解密出来,得到勒索信息,写入到文本文件CVZRPKPA59ZMCHK9T,如下所示:


16.将资源ID为CVZRPKPA59ZMCHK9B的数据解密出来,得到勒索信息,写入到图片文件CVZRPKPA59ZMCHK9B,如下所示:


17.采用POST的方式,上传主机相关信息到远程服务器地址,服务器URL相关地址:
http://paris-style.ru/forum/clientscript/ie7/graphic/qp50x.php,如下所示:





获取到的数据包信息,如下所示:



四、解决方案

    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:



病毒防御
某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


打赏鼓励作者,期待更多好文!

打赏
1人已打赏

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
产品连连看
功能体验
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人