本帖最后由 某公司_智安全 于 2019-3-14 17:54 编辑
背景介绍 2019年3月,国外黑客组织针对数百个备受欢迎的以色列网站发起了一系列攻击活动,活动命名为耶路撒冷,其目的是通过JCry勒索病毒感染Windows用户,为了达到这个目的,攻击者修改了来自nagich.com的流行网络辅助功能插件的DNS记录,当访问者访问使用此插件的网站时,将加载恶意脚本而不是合法插件。
庆幸的是此次攻击行为并未成功!由于脚本编码人员的失误,导致恶意代码不会执行,只会显示如下内容:
如果不是编码问题,网站会提示下载Flash安装包,下载下来的文件即为JCry勒索病毒:
可见如果此次攻击成功,将会有大量Windows用户成为受害者。某公司安全团队密切关注此次勒索病毒攻击案例,并第一时间拿到了相应的样本,对样本进行了详细分析。
详细分析 1.JCry勒索病毒母体伪装成Flash安装程序,查看母体样本,是一个WinRAR自解压文件,如下所示:
2.母体样本运行之后会释放如下三个文件,如下所示:
3.释放的msg.vbs是一个VBS脚本,内容如下: result=Msgbox("Access Denied",vbOK) 主要用于迷惑用户,弹出对话框,如下所示:
释放的Enc.exe和Dec.exe分别为勒索病毒的核心模块,执行后面的加密操作,经过分析Enc.exe和Dec.exe都是使用GO语言进行编写的模块。
4.Enc.exe生成加密密钥,如下所示:
5.遍历磁盘文件目录,如下所示:
6.循环遍历目录下的文件,如下所示:
7.判断相应的文件名后缀,然后进行加密操作,如下所示:
8.加密文件,如下所示:
加密后的文件后缀为jcry,如下所示:
9.生成相应的密钥文件,如下所示:
生成的密钥文件PersonalKey.txt,内容如下:
10.生成勒索信息超文本文件,如下所示:
生成的超文本文件,如下所示: BitCoin钱包地址:1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt
11.最后执行相应的CMD命令,清除磁盘卷影等相关操作,如下所示:
删除磁盘卷影,如下所示:
执行之后,Enc.exe还会调起Dec.exe,相应的CMD命令,如下所示:
12.Dec.exe程序,用户通过输入相应的Key进行解密,如下所示:
13.Dec.exe解密程序,执行相应的解密操作,如下所示:
14.调用解密函数,进行解密,如下所示:
15.Dec.exe的解密函数,与之前的加密函数对应,如下所示:
这款勒索软件像WannaCry一样,提供了相应的解密程序,只需要输入相应的解密Key,就可以解密文件。
16.通过查看相应的字符串,我们可以得到这款勒索病毒的版本为2.0,如下所示:
解决方案 针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀 1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
病毒防御 某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施: 1、及时给电脑打补丁,修复漏洞。 2、对重要的数据文件定期进行非本地备份。 3、不要点击来源不明的邮件附件,不从不明网站下载软件。 4、尽量关闭不必要的文件共享权限。 5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。 6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散! 7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。 8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。 | 
发表于 2019-3-14 17:56
QQ好友和群
QQ空间
腾讯微博
腾讯朋友