×

新手846532 发表于 2019-4-29 18:13
  
学习学习
毛一毛 发表于 2019-4-30 22:34
  
感谢分享。。。。
没有名字 发表于 2019-5-1 00:01
  
学习了。太厉害了
D调的土豆 发表于 2019-5-2 00:13
  
太深,不懂
marco 发表于 2019-5-4 20:09
  
精辟,加精。
Spanlee 发表于 2019-5-5 17:54
  
最近勒索病毒很猖狂
boy 发表于 2019-5-7 12:59
  
好厉害的帖子。。。网络基层触碰不到的天堂。。
新手902458 发表于 2019-5-7 14:45
  
非常详细,感谢分享
fjqx 发表于 2019-5-11 01:25
  
很 好,学习……
数百以色列热门网站成为耶路撒冷攻击活动目标,向Windows用户传播JCry勒索病毒

SANGFOR_智安全

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-3-14 17:54 编辑

背景介绍
    2019年3月,国外黑客组织针对数百个备受欢迎的以色列网站发起了一系列攻击活动,活动命名为耶路撒冷,其目的是通过JCry勒索病毒感染Windows用户,为了达到这个目的,攻击者修改了来自nagich.com的流行网络辅助功能插件的DNS记录,当访问者访问使用此插件的网站时,将加载恶意脚本而不是合法插件。
    庆幸的是此次攻击行为并未成功!由于脚本编码人员的失误,导致恶意代码不会执行,只会显示如下内容:


如果不是编码问题,网站会提示下载Flash安装包,下载下来的文件即为JCry勒索病毒:

    可见如果此次攻击成功,将会有大量Windows用户成为受害者。某公司安全团队密切关注此次勒索病毒攻击案例,并第一时间拿到了相应的样本,对样本进行了详细分析。

详细分析
1.JCry勒索病毒母体伪装成Flash安装程序,查看母体样本,是一个WinRAR自解压文件,如下所示:

2.母体样本运行之后会释放如下三个文件,如下所示:

3.释放的msg.vbs是一个VBS脚本,内容如下:
result=Msgbox("Access Denied",vbOK)
主要用于迷惑用户,弹出对话框,如下所示:

释放的Enc.exe和Dec.exe分别为勒索病毒的核心模块,执行后面的加密操作,经过分析Enc.exe和Dec.exe都是使用GO语言进行编写的模块。

4.Enc.exe生成加密密钥,如下所示:

5.遍历磁盘文件目录,如下所示:

6.循环遍历目录下的文件,如下所示:

7.判断相应的文件名后缀,然后进行加密操作,如下所示:

8.加密文件,如下所示:

加密后的文件后缀为jcry,如下所示:

9.生成相应的密钥文件,如下所示:

生成的密钥文件PersonalKey.txt,内容如下:

10.生成勒索信息超文本文件,如下所示:

生成的超文本文件,如下所示:
BitCoin钱包地址:1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt

11.最后执行相应的CMD命令,清除磁盘卷影等相关操作,如下所示:

删除磁盘卷影,如下所示:

执行之后,Enc.exe还会调起Dec.exe,相应的CMD命令,如下所示:

12.Dec.exe程序,用户通过输入相应的Key进行解密,如下所示:

13.Dec.exe解密程序,执行相应的解密操作,如下所示:

14.调用解密函数,进行解密,如下所示:

15.Dec.exe的解密函数,与之前的加密函数对应,如下所示:

这款勒索软件像WannaCry一样,提供了相应的解密程序,只需要输入相应的解密Key,就可以解密文件。

16.通过查看相应的字符串,我们可以得到这款勒索病毒的版本为2.0,如下所示:

解决方案
    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

病毒防御
    某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人