「安全通告」警惕新型ColdLock勒索病毒攻擊

2020-12-27 亞信安全

安全通告

近日,亞信安全發現了一起針對我國臺灣多個組織機構發起的勒索病毒攻擊事件,此次攻擊事件中使用的新型勒索病毒被命名為ColdLock。其針對資料庫和電子郵件伺服器進行加密,有較強的破壞性。加密後的文件擴展名為.locked,亞信安全將該勒索命名為Ransom.MSIL.COLDLOCK.YPAE-A和Ransom.PS1.COLDLOCK.YPAE-A。

詳細分析

其payload是.NET可執行文件(.DLL文件),是基於ConfuserEx的混淆加殼文件,它使用PowerShell反射加載.NET可執行文件來運行上述.DLL文件。

該勒索病毒會檢查%System Root%\ProgramData\readme.tmp文件是否存在(該文件是勒索贖金提示文件),以此來判斷系統中是否存在ColdLock勒索,防止重複感染病毒。

該病毒會檢查系統時鐘,其會在任意一天下午12:10或之後運行;如果早於該時間,該病毒將休眠15秒鐘,直到超過上述時間為止。

加密流程

在加密文件之前,該勒索病毒會做一些準備工作,為防止文件佔用導致加密失敗,其首先會終止如下進程:

Mariadbmsexchangeismssqlmysqloracleservice

這些進程是與各種資料庫以及Exchange郵件伺服器相關,其還會終止Outlook進程。

該病毒還會檢查系統上運行的Windows版本。如果運行的是Windows 10,它將執行多個Windows 10特定的例程。禁用Windows Defender,導致惡意樣本無法反饋給微軟,並且禁用推送通知。

該病毒避免加密以下目錄:

%System Root%\Program Files%System Root%\Program Files (x86)%System Root%\ProgramData%System Root%\Users\all users%System Root%\Users\default{malware directory}{drive letter}:\System Volume Information{drive letter}:\$Recycle.bin

但是其會加密以下目錄中的文件:

%System Root%\ProgramData\Microsoft\Windows\Start Menu %System Root%\Program Files\Microsoft\Exchange Server %System Root%\Program Files (x86)\Microsoft\Exchange Server Program Files, Program Files (x86), ProgramData 中包含sql、mariadb、oracle等字符串的目錄

其他目錄中的文件是否被加密取決於如下三個條件:

目標目錄上的文件數少於100目錄的最後寫入時間晚於2018年1月1日目錄名稱不應包含以下任何字符串:

如果滿足上述所有條件,它將加密指定目錄中除下列擴展名外的所有文件:

如不滿足條件,其將加密具有以下擴展名文件:

加密過程在CBC模式下使用AES函數。它使用salt和secret key生成所需的密鑰和初始化向量(IV);前者嵌入在代碼中,後者則是使用隨機生成的32位元組字符串的SHA-256哈希值動態生成。然後,使用硬編碼的公共RSA密鑰對其進行加密,並將其嵌入勒索提示信息中。加密後,文件被添加.locked擴展名。

勒索提示信息存儲在下列路徑中:

%Desktop%\How To Unlock Files.Txt%System Root%\ProgramData\readme.tmp %User Startup%\How To Unlock Files.Txt{Encrypted Drive}:\How To Unlock Files.Txt

勒索提示信息:

該勒索病毒通過修改註冊表來更改用戶系統的牆紙,我們可以看到,修改後的牆紙包含一條讀取文件信息,這條讀取信息指向了勒索提示文件。

亞信安全教你如何防範

不要點擊來源不明的郵件以及附件;不要點擊來源不明的郵件中包含的連結;採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;打開系統自動更新,並檢測更新進行安裝;儘量關閉不必要的文件共享;請注意備份重要文檔。備份的最佳做法是採取3-2-1規則,即至少做三個副本,用兩種不同格式保存,並將副本放在異地存儲。

亞信安全產品解決方案

亞信安全病毒碼版本15.863.60,雲病毒碼版本15.863.71,全球碼版本15.865.00已經可以檢測,請用戶及時升級病毒碼版本。亞信安全用戶開啟OfficeScan的勒索病毒防禦功能(行為監控)可有效阻止勒索病毒加密系統中的文件。亞信安全OfficeScan VP和DS的虛擬補丁,可以有效攔截已知及未知漏洞攻擊,解決用戶無法及時打補丁問題。亞信安全沙箱可以及時有效的偵測到勒索病毒威脅。

IOC

相關焦點

  • 數碼印花工廠中招Lockbit勒索病毒 目前無解
    今天了解到一家數碼印花工廠的電腦遭受lockbit勒索病毒攻擊,電腦保存的工作用重要文件被加密破壞並添加了. Lockbit後輟。據騰訊安全威脅情報中心報告,該勒索病毒於2019年末出現,病毒的傳播方式主要利用RDP口令爆破。
  • 「WannaRen」勒索病毒攻擊源曝光,360安全大腦獨家揭秘幕後「匿影」
    最近,一種名為「WannaRen」的新型比特幣勒索病毒正大規模傳播,在各類貼吧、社區報告中招求助人數更是急劇上升,真可謂鬧得滿城風雨!不幸感染「WannaRen」勒索病毒的用戶,重要文件會被加密並被黑客索要0.05BTC贖金。
  • 「安全通告」新一輪勒索攻擊來襲,法語版Sapphire已遍布全球
    安全通告亞信安全網絡實驗室監測到新一輪勒索病毒開始活躍,多個勒索家族出現頻繁變種。近日,亞信安全截獲了Sapphire勒索家族最新變種文件,其會加密用戶電腦中的PDF文檔、圖片、音頻、視頻等重要數據。其勒索文本採用法語,主要針對法語用戶,但從最新公布的數據來看,該病毒已經遍布世界各地。亞信安全將其命名為Ransom.Win32.SAPPHIRE.A。攻擊流程病毒詳細分析該程序運行後首先通過設置註冊表鍵值,禁用任務管理器。
  • 騰訊安全發布《2020上半年勒索病毒報告》 政企機構仍是勒索「頭號...
    騰訊安全發布《2020上半年勒索病毒報告》 政企機構仍是勒索「頭號目標」 近日,騰訊安全正式對外發布《 2020 上半年勒索病毒報告》(以下簡稱「報告」)。
  • 全球遭受新一輪勒索病毒攻擊 新勒索病毒在中國沒有蔓延土壤
    「永恆之藍」的威脅風波還未完全過去,一種新的勒索蠕蟲病毒攻擊再次席捲全球。勒索病毒造成了怎樣的影響?中國用戶是否會遭受大規模攻擊?如何防範勒索病毒?這已經成為了網際網路時代地球村居民最關心的問題。「永恆之藍」的威脅風波還未完全過去,一種新的勒索蠕蟲病毒攻擊再次席捲全球。6月27日,多國政府、銀行、電力系統、通訊系統受到攻擊,甚至包括我國部分跨境企業的歐洲分部。
  • 「網警提醒」請注意防範GlobeImposter勒索病毒!
    近年來,勒索病毒肆意在全球範圍內造成了巨大損失給網絡安全帶來嚴重威脅近期國家網絡與信息安全信息通報中心監測發現新型變種勒索病毒GlobeImposter攻擊我國政府部門和醫院等公立機構導致受感染系統無法正常運行
  • 勒索軟體攻擊創新高,郵件安全需警惕
    近日,國內第三方平臺發布數據顯示,2020年三大最具破壞性的網絡安全威脅:勒索軟體、針對性釣魚攻擊及BEC商務郵件攻擊,都與郵件安全有關。而排名第一的勒索軟體更是在今年達到了新高,幾款流行的勒索軟體已經攻陷了全球眾多知名企業。
  • 2020上半年勒索病毒報告:勒索手段升級 不交贖金就公開數據
    近日,騰訊安全正式對外發布《2020上半年勒索病毒報告》(以下簡稱「報告」)。《報告》顯示,上半年全球大型企業遭受勒索病毒打擊的事件依然高頻發生。其中,最活躍的勒索病毒家族發起針對性極強的大型「狩獵」活動,對企業開出天價解密贖金;新型勒索病毒層出不窮,技術上不斷進化。
  • 揭密無文件勒索病毒攻擊,思考網絡安全新威脅
    最近幾年基於無文件攻擊的網絡犯罪活動越來越多,一些網絡犯罪團夥開發了各種基於無文件攻擊的惡意軟體攻擊套件,這些惡意軟體攻擊套件可用于勒索病毒、挖礦病毒、RAT遠控、殭屍網絡等惡意軟體,在過去的幾年時間裡,無文件感染技術已經成為了終端安全新威脅,同時無文件技術也被廣泛應用於各類APT攻擊活動。
  • 「我被勒索了」——Buran病毒
    這樣呀,那勒索病毒還真是令人頭疼呢! 大東:勒索病毒呢,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。
  • 9月勒索病毒報告來襲:數據洩露成勒索攻擊新套路,20餘個流行勒索...
    360安全大腦發布的《2020年9月勒索病毒疫情分析》顯示,就在剛剛過去的九月中,不僅phobos、Crysis、GlobeImposter等傳統勒索病毒家族肆虐網絡,合力創下57.49%的感染量佔比;同時,自今年開始以來,越來越多的勒索病毒攻擊會伴隨著數據洩露風險,為網絡安全領域帶來了更為嚴峻的挑戰。
  • GlobeImposter勒索病毒再度攻擊醫院 安全專家支招防禦
    近日,國內某醫院系統遭受GlobeImposter勒索病毒攻擊,導致醫院業務系統癱瘓,患者無法就醫。據悉,勒索病毒通過醫院的防火牆,感染了醫院的多臺伺服器,入侵整個系統,導致部分文件和應用被病毒加密破壞無法打開,資料庫文件被破壞,攻擊者要求院方必須在六小時內為每臺中招機器支付1比特幣贖金,才能解密文件。
  • 騰訊安全:新型勒索病毒Ryuk目標鎖定政企 勒索金額高達75萬
    在勒索病毒界,有一個與日本系列漫畫《死亡筆記》中虛構人物死神同名的Ryuk勒索家族,在北美地區肆虐橫行, 曾在半年間非法獲利近400萬美元。目前,Ryuk勒索家族的魔爪已伸向國內,感染部分用戶。近日,騰訊安全御見威脅情報中心捕獲到國內的一例Ryuk勒索病毒攻擊事件。
  • 國內首個比特幣勒索病毒製作者落網 涉案數百起
    近日,據江蘇省南通市當地警方通報,在「淨網 2020」行動中,成功偵破一起由公安部督辦的特大製作、使用勒索病毒破壞計算機信息系統從而實施網絡敲詐勒索的案件。 這是全國公安機關抓獲的首名比特幣勒索病毒的製作者。
  • 騰訊安全《2017年勒索病毒盤點報告》 揭秘未來勒索病毒五大傳播趨勢
    伴隨著全球首次勒索達世幣的病毒樣本出現,勒索病毒的攻擊特點正在不斷發生變異。近日,騰訊御見威脅情報中心感知發現一款新型勒索病毒「GrandCrab」,向受害者勒索高達1200美元達世幣贖金。除了勒索幣種不同,勒索病毒活動傳播方式也更為多樣,需提醒用戶提前做好防禦。
  • 新型勒索病毒Attention感染醫療與半導體行業
    近日,深信服安全團隊檢測到一種全新的勒索病毒正在活躍,攻擊者針對製造行業、醫療行業等目標,通過社會工程、RDP遠程爆破等方式手動投放勒索病毒,且進行加密後會人工刪除勒索病毒體和入侵日誌。該勒索病毒加密後會修改文件後綴為大寫的隨機[10-12]個英文字母,並釋放勒索信息文件,運行後會進行自複製,但通常情況下複製體會被攻擊者手動刪除。深信服安全團隊將該勒索病毒命名為Attention勒索病毒。截止目前,已有多個省份出現感染案例,該勒索病毒暫時無法解密,嚴重危害業務安全,建議提高警惕,及時防範。
  • 新型勒索病毒「疫情」席捲多國 蹭「新冠」熱度黑客無孔不入
    4月6日,微軟發布警告稱,美國數十家醫院正面臨比特幣勒索軟體的攻擊。國際刑警組織也表示,黑客試圖通過勒索軟體感染醫院以從冠狀病毒流行中獲利。隨著全球進入新冠肺炎病毒防疫攻堅戰,一些黑產組織卻利用人們的恐懼和混亂製造網絡威脅,近日因網絡釣魚攻擊和惡意軟體導致的系統癱瘓、數據丟失、業務中斷等安全風險正在集中湧現。
  • 去年每秒出現6個新病毒 勒索軟體成「病毒之王」
    據360網際網路安全中心最新發布《2016中國網絡安全報告》顯示,去年360安全衛士捕獲新增惡意程序1.9億個,平均每秒出現6個新病毒。在病毒呈現自動化生成和快速變形勢態的同時,360全年攔截惡意程序攻擊高達627.3億次。
  • 一次勒索病毒攻擊 讓1500萬用戶「停跑」
    這些新技術、新架構的應用固然沒錯,可真正面對勒索病毒攻擊時,理論上可能出現核心的數據流被「綁架」,導致整套服務體系停擺的嚴重後果。愈演愈烈,勒索病毒的威脅日益加劇就在上周,騰訊安全對外發布了《2020上半年勒索病毒報告》,報告中顯示,上半年全球大型企業遭受勒索病毒打擊的事件依然高頻發生。
  • 聊聊勒索病毒處置經驗
    本文轉載自微信公眾號「新鈦雲服 」,作者王愛華。轉載本文請聯繫新鈦雲服 公眾號。 Liam 近期針對傳統行業的勒索病毒攻擊事件愈來愈多,甚至一天內會有多家同一行業的企業同時受到攻擊,造成企業業務運營中斷,個人和公司重要數據遭受破壞等嚴重安全問題。該情況一方面說明勒索病毒攻擊已經開始組織化和行業化,另一方面也說明傳統行業在信息安全方面防護能力脆弱,相比於網際網路、金融等行業,在信息安全管理和安全技術方面存在更多漏洞,更容易成為勒索病毒攻擊的對象。