一個極具破壞性的勒索病毒——LockerGoga

2020-12-27 瑞星網

一個極具破壞性的勒索病毒——LockerGoga

2019-04-11   

威脅等級:★★★★
LockerGoga勒索病毒是一個極具破壞性的勒索病毒,該病毒影響惡劣,不僅會設置開機密碼,同時還會加密電腦中的文件,由於加密的文件中包括重要的系統文件,因此會導致計算機關機或重啟後無法進入系統,即使用戶重裝系統,重要文件也無法恢復。

背景介紹

LockerGoga勒索病毒持續活躍,至今為止此病毒已經感染了,全球最大的鋁供應商--挪威海德魯公司(Norsk Hydro),美國瀚森化工公司(Hexion Specialty Chemicals)和美國有機矽巨頭--邁圖集團(Momentive),Altran Technologies公司 ,造成了極其惡劣的影響。病毒主要通過進程間通信來執行惡意操作,由父進程創建多個子進程執行加密等惡意行為,又因為加密的文件中包含了重要的系統文件,所以致使系統受到了嚴重破壞。該病毒不只是勒索病毒那麼簡單,通過分析發現,此病毒主要是為了進行破壞,它會設置開機密碼加密系統文件,使得計算機關機或重啟後無法進入系統。即使重裝系統,重要文件也已經被加密。正常的勒索軟體,一般都會防止系統受到損壞,因為這會導致受害者無法支付贖金。而此病毒主動加密系統文件,設置開機密碼的行為已經很明顯是破壞行為了。

威脅等級:★★★★

MD5: BA3F9530DADAC4133F07568FDE4F0411

電腦被LockerGoga勒索病毒攻擊後無法重啟

病毒分析

(一)不帶參數的進程

1、Windows進程提權

圖:進程提權

2、將病毒程序移動到 C:\Users\Administrator\AppData\Local\Temp目錄下,重命名後的名稱是tgyturcXXXX.exe(XXXX為四個隨機數字)

圖:移動目錄

3、將tgyturcXXXX.exe以命令行-m的方式啟動。該進程會創建命令行為i SM-tgytutrc -s的多個子進程

圖:創建進程

4、在桌面創建勒索信"README_LOCKED.txt"

圖:勒索信

勒索信的內容是:

圖:勒索信內容

(二) 帶參數- m的父進程

1、創建互斥體"MX-tgytutrc"

圖:互斥體

2、遍歷磁碟文件

圖:遍歷磁碟

3、創建命令行參數是 i SM-tgytutrc -s的子進程,並一直監控子進程的狀態,如果子進程意外關閉則重新創建帶此參數的子進程

圖:創建進程

(三) 帶參數 i SM-tgytutrc -s 的子進程

1、打開父進程創的互斥體"MX-tgytutrc",如果互斥體不存在,子進程會退出

圖:打開互斥體

2、子進程獲取父進程傳過來的用base64加密的文件路徑,用base64解密後,得到要加密的文件路徑

圖:獲取路徑

3、base64解碼獲得RSA公鑰

圖:RSA公鑰

4、加密文件,在文件名稱後追加「.locked",加密算法採用的是AES算法加密,AES的密鑰是隨機生成的,並且被RSA公鑰加密後追加到了被加密的文件末尾處

圖:加密文件

5、加密的文件類型除了以下之外還加密了大量其他文件,並且C:\Boot文件夾裡面的文件全部被加密而且還可以被多次加密

圖:加密的文件類型

圖:C:\Boot

(四)其他階段

勒索病毒破壞了系統文件,致使重新啟動電腦失敗

圖:進入系統失敗

預防措施

  1. 不下載運行來歷不明的軟體
  2. 提高上網安全意識,做好重要數據備份
  3. 及時安裝系統補丁,設置複雜密碼
  4. 安裝殺毒軟體,查殺勒索病毒
  5. 安裝勒索防禦軟體,攔截勒索病毒加密文件

編輯:瑞瑞 閱讀:

相關焦點

  • 斯福賽特:勒索病毒是什麼?要怎麼預防?中了勒索病毒還有救嗎?
    1、一、概述勒索病毒並不是什麼新鮮事物,已經零零散散存在了很多年,一直被當作偶發性破壞性強的破壞性程序記錄在案,直到WannaCry勒索蠕蟲病毒爆發,給所有人上了一課:喪心病狂的破壞者可以把勒索病毒與蠕蟲病毒有機結合起來,製造大面積的災難性後果。
  • 勒索病毒席捲全球!注意了:勒索病毒或已盯上你們
    這種病毒帶來的經濟損失不可估量,醫院和學校以及企業成了重災區,全球至少有上百個國家遭到攻擊。自此勒索病毒和比特幣病毒似乎成為目前最常見的兩種病毒,在高級持續性威脅呈常態化發展趨勢的當下,#G探長#認為:「網際網路更安全了」只是一種錯覺,兇猛且活躍的勒索病毒,徹底撕碎了安全的假象。
  • 2019:勒索病毒事件大盤點
    網絡攻擊千千萬,勒索病毒佔一半。今天我們就來盤一盤,2019年那些令人窒息的勒索病毒攻擊。無獨有偶,就在該市作出這個決定的短短一周內,佛羅裡達另一個遭襲城市湖城也迫於無奈,向黑客支付價值近50萬美元的比特幣贖金。
  • 騰訊反病毒實驗室:揭秘WannaCry勒索病毒的前世今生
    作為抗擊病毒第一線的親歷者,騰訊反病毒實驗室負責人馬勁松對事件演進及影響做了復盤。馬勁松表示,從捕獲第一個樣本到騰訊電腦管家快速上線防禦方案,騰訊反病毒實驗室對該病毒進行了全面的分析,不但研究了病毒本身的原理,還研究了其前身,以及關注其持續的變種。在病毒爆發的96小時內,騰訊安全團隊吹響了抗擊勒索病毒的先鋒號,並且現在對病毒變種也提供了完善的處理方案。
  • WannaCry爆發兩周年,會有下一個「網紅級勒索病毒」出現嗎?
    勒索病毒也藉此廣泛傳播。典型的例子,就是WannaCry勒索蠕蟲病毒的大發作,兩年前的這起遍布全球的病毒大破壞,是破壞性病毒和蠕蟲傳播的聯合行動,其目的不在于勒索錢財,而是製造影響全球的大規模破壞行動。在此階段,勒索病毒已呈現產業化、家族化持續運營。在整個鏈條中,各環節分工明確,完整的一次勒索攻擊流程可能涉及勒索病毒作者,勒索實施者,傳播渠道商,代理。
  • 勒索病毒防治策略淺析
    二、防治戰略:「知彼知己」勒索病毒,其實應該稱謂為勒索軟體或勒索程序,是惡意軟體或者叫惡意代碼的一種。嚴格來講,是一種木馬而不是病毒,因為木馬和病毒是兩種截然不同的威脅。一是隱蔽性。本質上病毒極具感染性,且感染極難發現。而木馬則出於本身「任務」的特殊性要隱藏其行蹤,以便「開展工作」。從這一點來講,木馬更強調隱蔽和偽裝,諸如近期發現的Clop勒索病毒會冒用有效的數字籤名,騙取系統及防病毒軟體的信任,披上「合法外衣」,令一般的防治手段形同虛設。二是危害性。
  • 360安全中心:勒索病毒GlobeImposter恐全面爆發
    中新網8月23日電 360網際網路安全中心發布緊急高危預警:自2018年8月21日起,多地發生GlobeImposter勒索病毒事件,此次攻擊目標主要是開始遠程桌面服務的伺服器,攻擊者通過暴力破解伺服器密碼,對內網伺服器發起掃描並人工投放勒索病毒,導致文件被加密。
  • 男子利用病毒勒索比特幣,折合人民幣高達500多萬元
    在這個網際網路時代,我們都使用電腦,計算機病毒層出不窮,一種名為「勒索病毒」的新型病毒開始傳播,這種新型病毒危害極大,是犯罪嫌疑人實施犯罪的利器。當一家大公司的系統被嫌疑人注入這種病毒後,系統就會癱瘓,嫌疑人就會勒索受害人錢財勒索贖金。為了逃避警方的追捕,一些嫌疑人需要比特幣不帶人民幣。
  • 川普批美聯儲「極具破壞性」
    川普6月10日在接受消費者新聞與商業頻道記者採訪時說,美聯儲變得「極具破壞性」。報導介紹,川普對美聯儲主席傑羅姆·鮑威爾及其他美聯儲官員的加息決策提出批評。他說:「不僅僅是傑羅姆·鮑威爾——美聯儲有一些人,實際上並不是我的人。他們毫無疑問不聽我的,因為他們犯了大錯。
  • "想哭"勒索病毒VS360安全衛士 大戰三天三夜最終病毒哭了
    從5月12日開始,勒索病毒突襲了全球100多個國家,許多用戶的電腦被病毒鎖定,無法正常使用。十萬火急之下,國內最大網際網路安全公司360的技術團隊閃電出擊,發起火線營救,搭建起多重防護體系力保5億360安全衛士用戶平安無恙。在這場正義與邪惡的較量中,360安全衛士與「想哭」勒索病毒大戰三天三夜,最終以勒索病毒失敗告終。
  • 聊聊勒索病毒處置經驗
    3對暫未感染勒索病毒的機器進行加固,防止可能的感染途徑勒索病毒感染一臺機器後,會通過文件共享、作業系統遠程利用漏洞、帳號弱密碼等方式,進一步獲取其它機器或AD伺服器的帳號,從而進行全網絡感染。對暫未明確發現感染勒索病毒跡象的機器,基于勒索病毒的傳播方法和傳播途徑,可採取一些基本的安全措施快速進行防護,避免感染。
  • GlobeImposter勒索病毒「假貨」上線 破解密碼竟藏在這裡
    近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。該「勒索病毒」疑似通過SQL Server爆破攻擊,之後通過網絡下載攻擊代碼(含WinRAR加密模塊),將用戶數據文件使用WinRAR加密壓縮;隨後,攻擊者將再盜用GlobeImposter勒索病毒的勒索消息內容,冒充GlobeImposter勒索病毒恐嚇用戶,索取酬金。
  • 連載|網絡法典型案例評析——WannaCry勒索病毒事件
    一、案例簡介2017年5月12日, WannaCry勒索病毒通過MS17-010漏洞在全球範圍爆發,受到該病毒感染的磁碟文件資料都無法正常打開,只有支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
  • 15年前的病毒現在仍極具破壞力
    [PConline 資訊]我們說,通常情況下,大部分的惡意軟體都只是「紅極一時」,然而就有那麼一個特例,縱使已經擁有15歲的「高齡」卻仍舊極具破壞力?且至今已造成超過380億美元的損失?那麼,究竟是怎樣一款病毒呢?
  • 勒索病毒又來了?!應對勒索病毒的災備建設勢在必行
    圖源網絡近年來,全球受到勒索病毒攻擊的事件屢見不鮮,波及政府、醫療、教育、網際網路、金融、能源等諸多行業,多通過利用各類技術對用戶的設備、數據進行鎖定來敲詐勒索,實現暴力「盈利」。勒索病毒就像是遊走的有害細胞,形式多變且難以捉摸,而它的蔓延,往往會給企業及組織帶來嚴重的安全威脅。
  • 「安全通告」警惕新型ColdLock勒索病毒攻擊
    安全通告近日,亞信安全發現了一起針對我國臺灣多個組織機構發起的勒索病毒攻擊事件,此次攻擊事件中使用的新型勒索病毒被命名為ColdLock。其針對資料庫和電子郵件伺服器進行加密,有較強的破壞性。該勒索病毒會檢查%System Root%\ProgramData\readme.tmp文件是否存在(該文件是勒索贖金提示文件),以此來判斷系統中是否存在ColdLock勒索,防止重複感染病毒。該病毒會檢查系統時鐘,其會在任意一天下午12:10或之後運行;如果早於該時間,該病毒將休眠15秒鐘,直到超過上述時間為止。
  • 假冒GlobeImposter勒索病毒攜WinRAR突襲 偽裝背後暗藏...
    近日,騰訊安全御見威脅情報中心監測發現了一款利用WinRAR加密壓縮用戶文件假冒GlobeImposter的勒索病毒。該「勒索病毒」疑似通過SQL Server爆破攻擊,之後通過網絡下載攻擊代碼(含WinRAR加密模塊),將用戶數據文件使用WinRAR加密壓縮;隨後,攻擊者將再盜用GlobeImposter勒索病毒的勒索消息內容,冒充GlobeImposter勒索病毒恐嚇用戶,索取酬金。
  • 「我被勒索了」——Buran病毒
    小白:嘿嘿,大東哥哥,你最近有沒有刷到一個關於「機智的黨妹」的視頻? 大東:勒索病毒主要是利用漏洞傳播,通過加密數據文件來勒索。它從2017年開始就大規模出現了,逐漸形成了一個產業。所謂產業就是說有一批人職業做這個,以此謀生。黨妹遭遇的Buran病毒是比較初級的病毒,傳播途徑很傳統,主要利用郵件附件傳播,附件通常是一個Word或者Excel文件。 小白:我覺得勒索病毒還是值得我們對其加大關注。
  • 手機中了勒索病毒怎麼辦?手機中了勒索病毒解決辦法
    第三方應用安裝安全提示(圖片源於網絡)最近,有網友表示在PC端非常流行的一個「比特幣勒索病毒」,被不法分子移植到了手機端中,不過隨後被專家證實此消息為網友惡搞的虛假新聞,由於作業系統不同,這類病毒是不會出現在手機中。但並不代表著手機中就沒有勒索病毒的存在,近日,就有不少網友因為下了很多來歷不明的APP後導致手機被強制鎖機,無法進入手機桌面。
  • 「想哭」病毒還是勒索「老大」 勒索病毒蠕蟲化更加流行
    新華社北京11月27日電 瑞星公司安全研究院日前發布報告稱,自2017年5月「想哭」病毒爆發以來,形態各異的勒索病毒層出不窮,病毒蠕蟲化變得更加流行,攻擊能力更強、傳播速度更快、社會危害更大。其中被國內直譯為「想哭」的WannaCry病毒家族,雖然已時過半年之久,但至今「陰魂不散」,在所有截獲的勒索樣本中佔39%,位列第一、影響最大。報告說,自WannaCry爆發以來,勒索病毒層出不窮,病毒蠕蟲化趨勢明顯。2008年之前,勒索病毒不加密用戶數據,只鎖住用戶設備。