背景概述
近日,国外安全研究人员捕获到一款名为 S eon 的勒索病毒,并且发现攻击者通过 Bizarro Sundown(GreenFlash) 漏洞利用 工具 包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒如 GandCrab 、 Locky、Hermes等。Seon勒索病毒使用A ES 算法加密文件,修改文件后缀为 .FIXT ,加密完成后弹出 hta窗口与用户交互索要赎金。
勒索特征
1.加密文件后缀. FIXT :
2.勒索信息:
详细分析
1.首先生成A ES 密钥,存放在注册表 HKEY_CURRENT_USER \ Software\GNU\Display -> windowData 中:
2.通过 ASM 获取 C UP 信息:
3.遍历磁盘,在每个目录下释放勒索信息txt文件:
4.遍历时会判断文件的类型,避开加密包含如下字符或类型的文件:
runas,bootsect.bak,ntuser.ini,thumbs.db,your_files_are_encrypted.txt,ntldr,iconcache.db,desktop.ini,ntuser.dat.log,bootfont.bin,ntuser.dat,boot.ini,autorun.inf,system,volume,information,programdata,application,data,$windows.~bt,program,files,tor,browser,windows,mozilla,appdata,windows.old,program,files,(x86),$recycle.bin,google,boot,mod,adv,dll,msstyles,mpa,nomedia,ocx,cmd,ps1,themepack,sys,prf,diagcfg,cab,ldf,diagpkg,icl,386,ico,cur,ics,ani,bat,com,rtp,diagcab,nls,msc,deskthemepack,idx,msp,msu,cpl,bin,shs,wpx,icns,exe,rom,theme,hlp,spl,fixt,lnk,scr,drv
5.不在忽略的类型和文件中,便使用A ES 算法对文件进行加密:
6.加密完成后在Temp目录下释放startb .bat 并运行,内容经过 base64解密后是用于删除磁盘卷影和备份的bat命令,用于防止恢复备份:
7.在 T em p 目录下释放 readme .hta 文件,内容经过 base64解密后是勒索信息,通过mshta .exe 弹出:
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞 (包括 Internet Explorer内存损坏漏洞CVE-2016-0189 、 Flash类型混淆漏洞CVE-2015-7645 、 Flash越界读取漏洞CVE-2016-4117 ) 。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 +防火墙+EDR,对内网进行感知、查杀和防护。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Machine Learning in Action
Peter Harrington / Manning Publications / 2012-4-19 / GBP 29.99
It's been said that data is the new "dirt"—the raw material from which and on which you build the structures of the modern world. And like dirt, data can seem like a limitless, undifferentiated mass. ......一起来看看 《Machine Learning in Action》 这本书的介绍吧!
