【解决方案版】KrakenCryptor2.0.7勒索变种来袭！

【解决方案版】KrakenCryptor2.0.7勒索变种来袭！

近日，某公司安全团队在分析安全云脑全网威胁数据时，发现了国内出现一新勒索家族KrakenCryptor，版本号为KrakenCryptor2.0.7，为目前发现的最新版本。KrakenCryptor2.0.7使用RSA+AES加密算法，加密后缀也随机生成。

从10月22号以来，陆续有用户受该病毒感染，病毒处于活跃状态，未来很有可能呈现爆发趋势。某公司紧急预警，提醒广大用户做好防御措施，警惕KrakenCryptor勒索病毒。

病毒名称：KrakenCryptor2.0.7

病毒性质：勒索病毒

影响范围：从10月22号起发现国内陆续有用户受感染

危害等级：高危

传播方式：KrakenCryptor勒索家族主要通过垃圾邮件、远程爆破方式进行传播，KrakenCryptor2.0.7可利用fallout漏洞进行传播。

病毒分析

01病毒描述

Kraken Cryptor家族是一个用.net框架编写的勒索软件，在国外较为流行。本次在国内首次出现的KrakenCryptor2.0.7， 采用RSA+AES加密算法，将系统中的大部分文档文件加密为随机后缀名的文件，然后对用户进行勒索。

KrakenCryptor2.0.7传播方式主要通过远程爆破、垃圾邮件、以及fallout漏洞进行传播，其自身不具备感染传播能力，不会主动对局域网的其他设备发起攻击。

02样本分析

1、样本是用.net框架编写的，并且经过混淆，如下图所示：

▲样本被混淆

2、跟一般勒索软件类似，该版本也会给受害者设定一个缴纳赎金的时限，超过一个周以后就会涨价。并且一周涨价算的是自然周，而不是根据受害者被加密时间开始算。

▲缴费（勒索）倒计时

3、KrakenCryptor2.0.7通过 RSA+AES进行加密，加密后缀也随机生成，其支持加密的文件后缀，一共有422种。

▲支持加密的部分文件后缀

4、样本会通过https://ipinfo.io网站来确认受害者IP的位置。

▲收集受害者IP的物理位置

5、收集受害者系统版本、mac地址、本地磁盘信息，并生成RSA和AES密钥。

▲生成加密密钥

6、获取受害者的默认输入法，通过输入法语言对部分区域进行免疫（不加密），中国不在免疫区域内。

7、注册表项，新增一个WordLoad的键，用来作为加密记录。如果Wordload的值为1，就退出。

▲注册表项

8、如果不在免疫区域列表当中，就会进入加密流程。样本会向https://2no.co/2SVJa5这个URL发送自己的IP物理地址。由于这个URL是个短连接，还原以后是https://www.bleepingcomputer.com/，bleepingcomputer是一个提供安全技术和信息的网站。

▲访问bleepingcomputer

9、生成256位AES密钥，并使用CBC模式加密文件。加密后的文件会直接将原文件覆盖，然后再重命名。

▲重命名加密后的文件

10、加密完以后样本进行自删除，避免被安全人员分析。

▲样本自我删除

11、最后更换桌面背景给受害者进行勒索提示。

▲桌面提示

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

某公司提醒广大用户尽快做好病毒检测与防御措施，防范此次勒索攻击。

病毒检测查杀

1、某公司为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测。

病毒防御

1、及时给电脑打补丁，修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件，不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、某公司下一代防火墙客户，建议升级到AF8.0.5版本，并开启智能安全检测引擎SAVE，以达到最好的防御效果。

某公司SIP3.0.14版本默认已经开启智能安全监测SAVE，不需要再手动配置。

某公司EDR3.2.8版本默认已经开启智能安全监测SAVE，不需要再手动配置。

l 某公司下一代防火墙配置步骤：

①确认SAVE杀毒开启条件：

确认当前AF的版本为AF8.0.5或以上，如下：

确认当前AF已开启杀毒模块，同时规则库在升级有效期内，如下：

②开启SAVE杀毒功能：

SAVE杀毒模板定义：定义好具备杀毒功能的“内容安全”模板，【对象】-【安全策略模板】-【内容安全】，见下图：

上网终端防护策略：新增“用户防护策略”，并启用上一步中新增的病毒防护模板，见下图：

服务器防护策略：新增“业务防护策略“，并启用上一步中新增的病毒防护模板，见下图：

6、最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用某公司安全感知+下一代防火墙+EDR，对内网进行感知、查杀和防护。

咨询与服务

您可以通过以下方式联系我们，获取关于KrakenCryptor的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通勒索软件专线）

2）关注【某公司技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问某公司区 bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

学习了解下载

不错不错不错，值得学习

厉害了。