50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開微信“掃一掃”,開啟安全數(shù)字世界之旅
截圖或長按保存至相冊,使用微信掃一掃
首頁 > 關于我們 > 企業(yè)新聞

新聞與活動

亞信安全最新資訊與活動。

警惕!攻擊ESXi平臺的lockbit勒索病毒通告
發(fā)布時間 :2021年12月08日
類型 :勒索軟件
分享:

事件描述




近日,亞信安全在日常威脅狩獵中截獲了疑似針對ESXi平臺的lockbit勒索病毒,其會加密虛擬機的相關文件,并且添加上lockbit后綴。在進一步分析中,我們發(fā)現(xiàn)此勒索病毒的整體運行流程和lockbit2.0相似,所有需要的字符串均需要經(jīng)過異或運算后,解密再使用。亞信安全將此病毒命名為Ransom.Linux.LOCKBIT.YXBKH。目前亞信安全新版病毒碼已經(jīng)可以檢測該勒索病毒,請用戶及時升級病毒碼版本。


緊急程度:★★★☆☆

影響平臺:Linux  ESXi


攻擊流程


 

微信圖片_20211209152812.jpg



亞信安全產(chǎn)品解決方案



亞信安全病毒碼版本17.233.60,云病毒碼版本17.233.71,全球碼版本17.233.00已經(jīng)可以檢測該勒索病毒,請用戶及時升級病毒碼版本。


攻擊細節(jié)分析



我們從攻擊者留下的痕跡來看,程序運行時帶有參數(shù):

1.jpg


調試后發(fā)現(xiàn)與lockbit有關的信息如下(LockBit Linux/ESXi locker V:1.1字樣):

3.jpg


樣本運行后會根據(jù)輸入確定是否繼續(xù)運行,進一步分析確定輸入內容為test才會繼續(xù)執(zhí)行(類似于啟動密碼),同時不論輸入是否為“test”,樣本都會輸出隨機error用于迷惑分析人員, 所以一般情況下沙盒很難對這種文件進行自動化分析:


5.jpg

6.jpg


接下來樣本檢查后續(xù)將會使用到的文件情況:

7.jpg


樣本獲取一些硬件信息:

8.jpg

微信圖片_20211209153512.png9.pngimage.png

接著,樣本進行勒索前的準備,關閉虛擬機自啟動的配置:

image.png

開啟ssh連接配置:

image.png

然后,根據(jù)wid值關閉正在運行中的虛擬機。至此,準備工作完成。

image.png

調試過程中,我們發(fā)現(xiàn)了程序參數(shù)的help信息。主要內容如下:

image.png

樣本會根據(jù)文件后綴加密,加密后綴名單由-e參數(shù)指定:

image.png


image.png

每個被加密的文件會進入單獨的線程進行處理,最終會使用AES算法進行加密:

image.png

image.png

最后每個目錄都會留下勒索信:

image.png


后續(xù)操作


10.jpg

擦除分區(qū),阻止其他方式恢復文件(通過對未使用的空間清零實現(xiàn)擦除分區(qū)):

11.jpg


安全建議


 

√ 打全ESXi系統(tǒng)補丁程序;

√ 采用高強度的root密碼,避免使用弱口令密碼,并定期更換密碼;

√ 盡量關閉不必要的端口;

√ 盡量關閉不必要的網(wǎng)絡共享;

√ 請注意備份重要文檔,備份的最佳做法是采取3-2-1規(guī)則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

 

IOC


e09dae6d33cffd7f6f38b62b71c484e5b12b4b79



上一篇:威脅周報 | 新冠變種奧密克戎已被網(wǎng)絡釣魚者利用

下一篇:亞信安全XDR領導者!安全牛《擴展威脅檢測與響應(XDR)應用指南》報告正式發(fā)布

返回列表
分享到微信
X