国内首例!深信服发现Rapid勒索病毒新变种
  

SANGFOR_智安全 1123052

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-10-25 15:26 编辑

国内首例!某公司发现Rapid勒索病毒新变种

近日,某公司安全团队发现国内首例Rapid勒索家族最新变种,一企业内网出现中勒索病毒现象,中毒主机中的大部分文档文件被加密为*.no_more_ransom,并弹出相应勒索信息。
病毒名称Rapid勒索病毒新变种
病毒性质勒索病毒
加密后缀.no_more_ransom
影响范围目前发现国内首例,Rapid勒索家族曾经在2017年爆发过,最新变种很可能重新在国内外活跃。
危害等级:高危
传播方式:通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备自主感染传播能力。
病毒分析
Rapid勒索病毒在2017年爆发过一次,原始版本的加密后缀为.rapid。本次变种采用RSA+AES加密算法,将中毒主机系统中的大部分文档文件加密为no_more_ransom后缀名的文件,然后对用户进行勒索。
该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击。
图片49.jpg
Rapid勒索进程为info.exe。对应的路径为AppData\Roaming\info.exe
图片50.jpg
该病毒的主体功能流程如下:
图片51.png
病毒自复制到AppData\Roaming目录下。
图片52.png
病毒在执行关键功能前会对当前的主机语言进行判断,若语言为俄罗斯(0x419),则不进行加密操作。接着病毒会删除卷影备份。
此外,有别于一般勒索病毒在全盘加密之后退出,该病毒主体还会创建两个定时任务来实现病毒自动和定时运行。这也意味着该勒索病毒是常驻的。
图片53.jpg
结束办公软件,被结束的软件包括:
msftesql.exesqlagent.exesqlbrowser.exe sqlservr.exesqlwriter.exe oracle.exeocssd.exedbsnmp.exe
synctime.exemydesktopqos.exe agntsvc.exeisqlplussvc.exexfssvccon.exe  mydesktopservice.exeocautoupds.exeagntsvc.exeagntsvc.exeagntsvc.exeencsvc.exefirefoxconfig.exe tbirdconfig.exeocomm.exemysqld.exe mysqld-nt.exemysqld-opt.exedbeng50.exesqbcoreservice.exe excel.exe infopath.exe msaccess.exemspub.exeonenote.exeoutlook.exe powerpnt.exesteam.exethebat.exe thebat64.exethunderbird.exevisio.exe  winword.exewordpad.exetaskmgr.exe
结束杀毒软件,为避免被查杀,该病毒具备反杀毒软件功能,能够结束以下杀毒软件:
AVP.EXEekrn.exeavgnt.exeashDisp.exeNortonAntiBot.exe Mcshield.exeavengine.execmdagent.exesmc.exepersfw.exe pccpfw.exefsguiexe.execfp.exemsmpeng.exe
在注册表中创建自启动项,实现开机自动加密。
图片54.png
初始化公钥和密钥,并将其存储在HKCU\Software\EncryptKeys路径下。
图片55.jpg
加密数据,被加密文件的后缀被改为.no_more_ransom
图片56.png
图片57.jpg
最后,加密完成后弹出勒索对话框对用户进行勒索。
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
一、病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2、某公司EDR产品及下一代防火墙、安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,其中EDR需升级到3.2.8及以上版本。
  
二、病毒防御
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、Rapid勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP,建议关闭RDP。当出现此类事件时,推荐使用某公司下一代防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
   具体配置步骤:
l 某公司EDR微隔离配置步骤:
使用微隔离对3389进行防护,对于不需要使用3389的终端进行封堵:
图片58.png
源:建议源选择IP->默认互联网。(默认互联网的IP地址范围为0.0.0.0-255.255.255.255)。
图片59.png
目的:选择需要防护的终端,包括终端,“业务系统”、“角色”、“服务器”。
图片60.png
选择需要防护的终端“业务系统”、“角色”、“服务器”
图片61.png
服务选择RDP3389)动作选择拒绝。
图片62.png
对于需要访问服务器3389的终端,可以在该策略配置一条放通的策略,微隔离策略从上到下进行匹配。如下:
图片63.png
源选择需要访问业务服务器的终端IP组。
图片64.png
目的选择需要被访问RDP3389)的服务器。可以通过“业务系统”、“角色”、“服务器”、进行选择。
图片65.png
点击确定,完成白名单的配置。
图片66.png
完成配置。
图片67.png
7某公司下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用110800511108002711080016规则,EDR开启防爆破功能可进行防御
   具体配置步骤:
l 某公司下一代防火墙防爆破功能配置步骤:
确认当前设备规则库版本
确认IPS漏洞特征识别库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片68.png
开启安全功能
针对RDP暴力破解开启暴力破解防护功能,【策略】——【安全防护策略】——“新增”——“业务防护策略”。开启“漏洞攻击防护”功能,具体参照下图:
图片69.png
图片70.png
l 某公司EDR防爆破功能配置步骤:
建议到【终端管理】->【安全策略】->【安全策略应用】中进行调用。将所有的策略都加入RDP暴力检测检测和封堵
点击【策略详情】
图片71.png
点击后如下图:
图片72.png
开启暴力破解实时检测为,并自动封堵。
图片73.png
8、某公司下一代防火墙用户,建议升级到AF805版本,并开启智能安全检测引擎SAVE,以达到最好的防御效果。
     具体配置步骤:
save引擎杀毒开启条件:
u AF设备已升级到版本AF8.0.5;
u 已开启网关杀毒功能,详见【系统】-【系统配置】-【通用配置】-【序列号】,见下图:
图片74.png
save引擎杀毒配置截图:
定义好具备杀毒功能的内容安全模板,【对象】-【安全策略模板】-【内容安全】,见下图;
图片75.png
新增“用户防护策略”,并启用上一步中新增的病毒防护模板,见下图:
图片76.png
图片77.png
新增“业务防护策略“,并启用上一步中新增的病毒防护模板,见下图:
图片78.png
图片79.png
9最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+下一代防火墙+EDR,对内网进行感知、查杀和防护。
某公司安全感知SIP可更新IOC特征库到20181024版本,可支持识别Rapid勒索病毒。
l 某公司SIP IOC特征库更新:
图片80.png
咨询与服务
您可以通过以下方式联系我们,获取关于Rapid的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通勒索软件专线)。
2)关注某公司技术服务微信公众号,选择“智能服务”菜单,进行咨询。
3)PC端访问某公司社区 bbs.sangfor.com.cn选择右侧智能客服,进行咨询。

点击附件查看原文》》

【解决方案版】国内首例!深信服发现Rapid勒索病毒新变种.docx

2.12 MB, 下载次数: 8

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

78465 发表于 2018-10-25 17:37
  
了解关注
新手669092 发表于 2018-10-25 18:06
  
了解学习关注
MaySunday 发表于 2018-10-26 16:59
  
干货              
JOELEI 发表于 2018-10-29 00:31
  
学习了,学习了!谢谢!      
小辉 发表于 2018-10-29 09:46
  
学习学习
黄常尧 发表于 2018-10-29 10:31
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
WZY 发表于 2018-10-29 15:07
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
thue 发表于 2018-10-30 07:58
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
暗夜星空 发表于 2018-10-30 08:18
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
技术咨询
在线直播
新版本体验
专家分享
功能体验
答题自测
技术圆桌
原创分享
安装部署配置
SANGFOR资讯
排障笔记本
安全攻防
每日一记
SDP百科
畅聊IT
专家问答
问题分析处理
VPN 对接
上网策略
日志审计
标准化排查
设备维护
MVP
网络基础知识
升级
测试报告
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

204
123
130

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人