50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開微信“掃一掃”,開啟安全數(shù)字世界之旅
截圖或長按保存至相冊,使用微信掃一掃
首頁 > 關(guān)于我們 > 企業(yè)新聞

新聞與活動

亞信安全最新資訊與活動。

【安全通告】多款勒索軟件同時爆發(fā),幕后黑手頻頻出擊以求實現(xiàn)利益最大化
發(fā)布時間 :2021年03月17日
類型 :勒索軟件
分享:

安全通告

近日,亞信安全網(wǎng)絡(luò)安全實驗室監(jiān)測到FAKEGLOBE和MEDUSALOCKER兩款勒索軟件竟同時出現(xiàn)在同一個網(wǎng)絡(luò)環(huán)境中。勒索軟件并存是非常少見的,而且這兩款勒索軟件具有相似的文件名“CN.exe/CNdog.exe”,以及完全一致的加密后綴“l(fā)ockfilescn”。為達到勒索利益最大化,勒索軟件的分發(fā)者正持續(xù)活躍嘗試對各類資產(chǎn)進行攻擊,他們不但嘗試投放多個勒索病毒,實現(xiàn)多次勒索并增加解密難度,而且還定向投放定制化的勒索病毒。



1.jpg


攻擊流程



2.jpg


病毒詳細(xì)分析

Cndog.exe分析


樣本由VC++編譯,未加殼。

樣本遍歷文件并加密,加密后的文件后綴為“l(fā)ockfilescn”。

3.jpg

 樣本遍歷文件并加密,加密后的文件后綴為“l(fā)ockfilescn”。


4.jpg

5.jpg


增加自啟動項目。

6.jpg


在%temp%目錄生成tmp3580.tmp.bat并執(zhí)行,用于以下操作:


  • 刪除卷影副本;

  • 刪除注冊表中存放遠程桌面歷史記錄的項;

  • 清空存儲的所有RDP連接過的ip地址和登錄賬戶;

  • 刪除%userprofile%\documents\default.rdp;

  • 遍歷清除Windows系統(tǒng)日志。

7.jpg

創(chuàng)建勒索信息文本文件 “how_to_back_files.html”。


8.jpg



CN.exe分析


樣本由VC++編譯,未加殼。


9.jpg


該樣本首先會創(chuàng)建互斥體{8761ABBD-7F85-42EE-B272-A76179687C63},此互斥量與已發(fā)現(xiàn)的其他MEDUSALOCKER勒索樣本完全一致。然后將自身拷貝到%AppData%\Roaming\svhost.exe并創(chuàng)建計劃任務(wù)\svhost。


 

10.jpg

刪除卷影副本:


11.jpg


Base64加密公鑰:

BgIAAACkAABSU0ExAAgAAAEAAQBtv9E5cdLPoTK8PwG0VTbxxURbhYM00jmY1b22v+Nwoe6+Vi6zHYcP5JmmueP4FBZBwANscT6dGxHpP4f4l9L9b/VLT6npX7+821EksPXaUJ8piYp8TCQPKRLJt6v7foVnI7jRW//K0wX9YmF7JWbBQROHPQTX7g3CQqZM7xGT4PfMa8g7+UBbstiEThpJo8PE1pgHfZrUFyiMwAv1hoXvaWVeAHKGOvoV+pKZ6Qi2fBCyJFmfL3hChhDWzIjp5oWd3l/RuSgET1sNAV8lkQPpf80OwlxFls5C8OnoG2d7eZJXDhcelK6K67Pp1Y6nC/B5mGpMhERMGnzSg9JkcrOn


12.jpg



文件加密和重命名邏輯:


13.jpg


 

遍歷SMB共享:


14.jpg



文件重命名增加加密后綴“l(fā)ockfilescn”,這與本文中前一個勒索病毒釋放的后綴相同。 


15.jpg

111.jpg



創(chuàng)建勒索信息文本“Recovery_Instructions.html”。


16.jpg


勒索攻擊事件分析



仔細(xì)閱讀本文后,你一定會發(fā)現(xiàn)這次的兩款勒索病毒具有相同的加密后綴。事實上不僅如此,這兩個樣本還是從同一個設(shè)備中捕獲到的。通過日志收集,網(wǎng)絡(luò)安全研究人員在同一臺設(shè)備中發(fā)現(xiàn)了上述兩款勒索病毒,且其釋放到系統(tǒng)的時間僅有幾秒之差。這足以說明兩款勒索病毒由同一個黑客組織投放。


17.jpg



不僅如此,兩款勒索病毒先后執(zhí)行,導(dǎo)致先執(zhí)行的FAKEGLOBE勒索病毒釋放的勒索信息文本how_to_back_files.html被后執(zhí)行的Medusalocker勒索病毒加密。除此以外,研究人員還在設(shè)備中獲取到一系列黑客工具,這在一定程度上說明了病毒投放者的攻擊方式。

18.jpg


19.jpg


這些工具與MedusaLocker被曝光的C&C站點中存放的工具基本一致,包含:


內(nèi)網(wǎng)端口掃描工具;


Psexec(sysinternal)可用于遠程傳輸文件和執(zhí)行,需要對端IP地址、賬戶及口令;


Windows Defender一鍵關(guān)閉工具;


密碼恢復(fù)工具(包括瀏覽器、FTP、操作系統(tǒng)等);


GMER、rootkit查殺工具,可用于進程\文件\注冊表管理;


網(wǎng)絡(luò)共享掃描工具;


MIMIKATZ密碼Dump工具。



病毒投放者嘗試使用端口掃描工具快速篩選攻擊目標(biāo),利用竊取到的密碼嘗試登錄到內(nèi)網(wǎng)中的其他設(shè)備,并投放病毒。勒索病毒執(zhí)行后則會刪除RDP相關(guān)的信息及Windows系統(tǒng)日志。


上述信息提示我們:惡意軟件分發(fā)者正持續(xù)活躍在信息安全薄弱點,以實現(xiàn)最大化攻擊效益;其使用多維度、高效率的工具以幫助在企業(yè)內(nèi)網(wǎng)橫行;使用定制化的勒索病毒加密用戶數(shù)據(jù)、勒索錢財;投放多個勒索病毒,實現(xiàn)多次勒索并增加解密難度(即使其中某一款勒索病毒私鑰被披露,也無法完全解密)。


亞信安全產(chǎn)品解決方案



亞信安全病毒碼版本16.591.60,云病毒碼版本16.591.71,全球碼版本16.591.00已經(jīng)可以檢測,請用戶及時升級病毒碼版本;



20.jpg



亞信安全DDAn沙盒平臺已經(jīng)可以檢測。



21.jpg



安全建議



打開系統(tǒng)自動更新,并檢測更新進行安裝;


不要點擊來源不明的郵件以及附件;


不要點擊來源不明的郵件中包含的鏈接;


請到正規(guī)網(wǎng)站或者應(yīng)用商店下載程序;


采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;


盡量關(guān)閉不必要的端口;


盡量關(guān)閉不必要的網(wǎng)絡(luò)共享;


請注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。



IOCs

22.jpg

上一篇:亞信安全:“數(shù)據(jù)湖”已成為威脅情報發(fā)展的“核動力”

下一篇:某航空巨頭遭100萬會員身份信息外泄,Microsoft Exchange曝多個高危漏洞【亞信安全網(wǎng)安周報】

返回列表
分享到微信
X