×

Matrix勒索病毒PRCP变种侵入政企单位,警惕中招
  

SANGFOR_智安全 8406

{{ttag.title}}
某公司勒索病毒PRCP变种侵入政企单位,警惕中招
近日,某公司安全团队在国内跟踪发现了一新型的病毒变种,确认为某公司勒索病毒PRCP变种,目前已有政企单位感染案例,该勒索变种采用RSA+AES高强度加密算法,将系统中的大部分文档文件加密为PRCP缀名的文件,然后对用户进行勒索。目前无法解密,提醒广大用户警惕,防止中招。
该勒索病毒变种主要通过RDP爆破进行传播,会扫描局域网内主机,会加密局域网共享目录文件夹下的文件,并弹出勒索界面如下:
此次勒索事件,某公司安全专家捕获到了完整病毒样本,并制定了相应的防护措施。
样本分析
某公司勒索病毒PRCP变种整体比较复杂,样本功能可以简化如下:
该病毒变种使用Delphi语言进行编写,相关数据加密会存储到程序资源目录中。为了保证运行唯一,病毒运行后,会先尝试打开互斥变量MutexPRCP,如果打开失败,则创建互斥变量。
获取信息,上传C2服务器
该病毒变种会获取当前操作系统的语言版本、主机名和用户名等信息,在内存中拼接相应的字符串:
在内存中解密出远程服务器地址,如下所示:
发送相应的主机信息,到远程服务器地址prcp.mygoodsday.org,进行记录,如下所示:
扫描磁盘信息,并打印到输出窗口,然后将磁盘信息,再一次上传到远程服务器。
生成key,删除系统备份
某公司勒索病毒PRCP变种会通过内置的RSA密钥生成相应的key,如下所示:
接着,会生成BAT文件,删除磁盘卷影等操作,使用户无法通过系统备份恢复数据,如下所示:
生成上面BAT脚本调用的VBS脚本,如下所示:
扫描探测内网,加密网络共享:
        为了对内网最大程度造成破坏,该变种会生成随机命名的备份文件,然后通过参数启动,对内网进行探测,如下所示:
内网共享目录文件扫描过程,如下所示:
生成的随机的BAT文件,如下所示:
调用释放的NTHandler程序,对当前主机进行扫描,如下所示:
加密本地文件,生成勒索信息:
最后,该变种病毒会遍历本地磁盘文件,加密磁盘文件,加密后的文件后缀为.PRCP
磁盘文件加密完成后,会在本地生成相应的勒索信息文件#README_PRCP#.rtf,相应的内容如下所示:
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
EDR病毒库更新:
病毒库更新到20190119063912版本,可以对某公司进行查杀。
SIP更新IOC威胁情报库:
在SIP能上网环境中,可自动更新IOC情况库。更新后如下日期
当SIP不能上网,需要离线更新IOC库,需要先通过以下地址下载最新库文件:http://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all
下载后点击手动导入,上传IOC情况库
更新后如下日期:
③AF设备,请确认“IPS漏洞特征识别库”版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本,建议升级至AF8.0.5及以上版本,同时开启杀毒功能,以获取更好的防护效果及更快速的更新能力。
病毒防御
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2、如果业务上无需使用RDP的,建议关闭RDP当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
某公司EDR开启RDP微隔离防护:
对服务器进行3389端口隔离,只放通需要访问RDP3389端口的业务。
对内网终端的3389端口进行封堵:
放通所有需要访问3389业务的源和对应业务系统。
配置策略如下,策略从上到下进行匹配。
3、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用110800511108002711080016规则,EDR开启防爆破功能可进行防御。
①防火墙配置步骤:
针对此次的某公司勒索病毒PRCP变种防护,某公司 AF建议针对【内网主机】,可以开启 “病毒防护功能”功能。针对【对外发布RDP服务的主机】,可以开启“暴力破解”功能,配置如下:
新增开启病毒防护功能的内容安全模板:
新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:
新增针对“对外发布RDP服务的主机”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”功能,动作选择“拒绝”。配置如下:
②某公司EDR开启暴力破解检测功能:
查看或修改终端组已经应用的策略,开启暴力破解功能。
勾选“开启暴力破解实时监测”,点击“确认”提交。
8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系我们,获取关于某公司的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索软件专线)
2)关注【某公司技术服务】微信公众号,选择智能服务菜单,进行咨询
3PC端访问某公司社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

小宫 发表于 2019-1-22 14:53
  
学习了,感谢分享
灵灵幺 发表于 2019-1-23 22:56
  
完全看不懂。哈哈。学习
droprains 发表于 2019-1-27 12:09
  
谢谢,太吓人了~~
厌児 发表于 2019-2-9 23:08
  
感谢楼主的分享学习了呢
东南汽车 发表于 2019-2-23 11:13
  
高手,厉害6666
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人