幽靈勒索病毒再度來襲,加密上百種常用文件

2020-12-25 雷鋒網

2月1日雷鋒網(公眾號:雷鋒網)消息,騰訊御見威脅情報中心監測發現,從2018年10月份開始惡意JS電子郵件附件數量持續增長。經分析發現,攻擊者通過發送釣魚郵件,誘導受害者打開並運行附件中的惡意JS腳本,進而下載Shade(幽靈)勒索病毒。

該勒索病毒會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點,之後再通過這些被入侵的站點繼續傳播Shade(幽靈)勒索病毒。截止目前,已有超過2000個CMS站點遭到入侵。

註:cms站點是被業內廣泛使用的內容管理系統,企業或個人可通過CMS系統創建自己的博客、知識庫、社區、論壇等內容網站。

Shade(幽靈)勒索病毒首次出現於2014年末,針對Windows作業系統,它主要通過Axpergle和Nuclear漏洞攻擊包、釣魚郵件等進行分發。歷史版本加密文件後綴有「.da_vinci_code」、「.magic_software_syndicate」、「.no_more_ransom」、「.dexter」。而本次發現的病毒版本為v4.0.0.1,加密文件後會添加「. crypted000007」後綴。

該版本的Shade(幽靈)勒索病毒具有如下特點:

1、加密jpg,jpeg,png,xls,xlsx,doc,docx,ppt,txt,mp3,mp4,mov等上百種常用類型的數據文件,不影響系統的正常運行;
2、檢查文件是否已經被加密,避免重複加密;
3、刪除卷影信息,刪除備份相關文件;
4、設置受害者的電腦桌面背景,英俄雙語提示受害者文件已經被勒索;
5、在受害者的電腦桌面上,創建了10個內容相同的文件README1.txt,... README10.txt,文件中分別用英俄雙語引導受害者通過郵件或者Tor網絡與攻擊者聯繫解密;
6、所有C2伺服器都位於Tor網絡上;
7、該版本的Shade(幽靈)勒索病毒樣本,絕大多數被存放在被攻陷的wordpress站點上,並偽裝成jpg和pdf文件;
8、下載CMSBrute(CMS暴力破解者)模塊入侵安全係數相對較低的wordpress等CMS站點,攻陷的站點將作為Shade(幽靈)勒索病毒的樣本分發伺服器。

Shade(幽靈)勒索病毒的攻擊流程大致如下圖所示:

安全專家建議企業用戶,

1、儘量關閉不必要的埠,如:445、135,139等,對3389,5900等埠可進行白名單配置,只允許白名單內的IP連接登陸。

2、儘量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。

3、採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼,並且強制要求每個伺服器使用不同密碼管理。

4、對沒有互聯需求的伺服器/工作站內部訪問設置相應控制,避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。

5、對重要文件和數據(資料庫等數據)進行定期非本地備份。

6、教育終端用戶謹慎下載陌生郵件附件,不要隨意點擊運行或打開附件中未知的文件。

7、在終端/伺服器部署專業安全防護軟體,Web伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。

對於個人用戶來說,勿隨意打開陌生郵件,或運行郵件附件中的未知文件,同時關閉Office執行宏代碼,最重要的是及時備份數據文檔。 

來源:騰訊御見威脅情報中心

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。

相關焦點

  • WannaCry勒索病毒文件加密密碼結構
    引言勒索病毒Wannacry爆發已經過去一周了,由於該病毒採用加密用戶文件方式進行勒索,許多朋友對該病毒文件加解密過程比較感興趣。在已見到的病毒分析報告[1-4]中對文件加解密過程描述的比較零散。為便於全面理解病毒使用的密碼技術,本文綜合多家的分析報告,從密碼技術角度勾勒出該病毒文件加解密基本框架。
  • 加強版GlobeImposter勒索病毒來襲 這樣防範
    近日,亞信安全網絡監測實驗室監測到大量GlobeImposter勒索病毒在我國傳播,此次勒索病毒變種繁多,被加密後的文件擴展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通過垃圾郵件進行傳播,與以往不同的是,此次變種會通過郵件來告知受害者付款方式,勒索贖金從1到10比特幣不等。
  • Satan勒索病毒的屢敗屢戰:第四次更新來襲
    來源:金融界網站最近,「微信支付」勒索病毒在國內安全界掀起了層層巨浪,數家網際網路公司躺槍。然而,「微信支付」勒索病毒的風波才剛剛平息,另一款活躍度極高的勒索病毒——Satan(撒旦)又來作妖了!才被解密沒幾天Satan變身加強版再來襲最新版的Satan 4.6版本於12月初開始傳播,該版本依然使用「lucky」作為加密後綴,攻擊者加密件後要求受害用戶支付1個比特幣的贖金。
  • 9月勒索病毒報告來襲:數據洩露成勒索攻擊新套路,20餘個流行勒索...
    可能在很多用戶看來,勒索病毒的危害僅限於加密文件與破壞系統。但實際上,勒索病毒由於攻擊形式不受限、輻射範圍廣、影響領域深,使全球成千上萬的伺服器、資料庫都可能淪為攻擊目標,所以其所造成的破壞效果往往是難以預估的。
  • 騰訊安全:勒索和挖礦雙開花!Satan勒索病毒變種來襲
    作為 2018年度最為活躍的勒索病毒之一,Satan(撒旦)進入 2019年之後持續更新迭代病毒,不斷出現病毒變種,企圖攫取更多利益。近日,騰訊安全御見威脅情報中心監測發現Satan勒索病毒變種樣本。據了解,該病毒變種主要針對Windows、Linux系統用戶進行無差別攻擊,然後在中招電腦中植入勒索病毒勒索比特幣和植入挖礦木馬挖礦門羅幣,嚴重威脅用戶個人信息及財產安全。Satan病毒變種運行後,病毒作者會快速遍歷文件並進行加密,生成後綴為.evopro的加密文件,並提示用戶支付一個比特幣(當前價格折合人民幣約 25600元)進行解密。
  • 快看|騰訊回應新型勒索病毒:已凍結收款二維碼並推出文件解密工具
    日前,騰訊方面表示,接到若干用戶求助,遭遇勒索病毒攻擊。這一勒索病毒入侵電腦運行後,會通過加密電腦上的doc、jpg等常用文件,然後利用微信支付二維碼進行勒索贖金。這是國內首款要求微信二維碼進行支付的勒索病毒。
  • 騰訊反病毒實驗室:揭秘WannaCry勒索病毒的前世今生
    遺憾的是,勒索病毒的作者也利用了這個特性,使得我們雖然知道了木馬的算法,但由於不知道作者使用的密鑰,也就沒有辦法恢復被惡意加密的文件。加密算法通常分為對稱加密算法和非對稱加密算法兩大類。這兩類算法在勒索病毒中都被使用過。
  • WannaRen來襲:翼火蛇帶你盤點那些年的勒索病毒
    2020年4月7日,360CERT監測發現網絡上出現一款新型勒索病毒wannaRen,該勒索病毒會加密windows系統中幾乎所有的文件,並且以.WannaRen作為後綴。360CERT該事件評定:危險等級為高危,影響面為廣泛。在運行該勒索病毒後會彈出如下界面:
  • 揭密無文件勒索病毒攻擊,思考網絡安全新威脅
    ,筆者給大家介紹一些基於無文件攻擊的網絡犯罪活動中傳播勒索病毒的案例,這類型的勒索病毒都是使用無文件類型的攻擊方式勒索加密受害者主機上的文件,這些無文件類型的勒索病毒不管是傳統的PE文件檢測或基於AI的PE文件檢測,都是沒辦法第一時間檢測出來的,目前也有一些安全廠商開發了一些基於非PE文件檢測的引擎,可以檢測一些Office(漏洞)、PDF漏洞、Flash漏洞、JS、VBS、BAT腳本等,不過大多數這類檢測引擎效果不太好
  • 緊急通知:全國高校爆發勒索病毒,請師生及時更新系統,備份重要文件!
    ONION勒索軟體(永恆之藍)病毒是近些年出現的一種病毒:RansomWare(勒索病毒)病毒對通過網頁、郵件、甚至手機侵入。目前ONION病毒開始針對高校進行瘋狂攻擊,遭到攻擊的電腦子盤文件會被病毒加密位.onion後綴文件,只有支付高額的贖金才能解密恢復文件。
  • 勒索病毒肆虐 萬能數據恢復大師找回被刪文件
    WannaCry勒索病毒的影響愈演愈烈!據不完全統計,全球已經有 150 多個國家被波及。雖然此次勒索病毒來勢洶洶,中了「勒索病毒」的文件真的找不回來了嗎?萬能數據恢復大師,緊急加持,幫你找回丟失文件。目前已證實受感染的電腦集中在企事業單位、政府機關、高校等內網環境。
  • 2018勒索病毒全面分析報告
    圖:LockScreen勒索截圖2、勒索病毒第二階段:加密數據,提供贖金解鎖文件2013年,以加密用戶數據為手段勒索贖金的勒索軟體逐漸出現,由於這類勒索軟體採用了一些高強度的對稱和非對稱的加密算法對用戶文件加密,在無法獲取私鑰的情況下要對文件進行解密,以目前的計算水平幾乎是不可能完成的事情。
  • 「預警」勒索病毒Ouroboros開學來襲,持續更新惹人關注
    【亞信安全】-【2019年9月2日】近日,亞信安全截獲全新勒索病毒Ouroboros,此勒索病毒在加密文件完成後會添加.[ID=十位隨機字符][Mail=unlockme123@protonmail.com].Lazarus的後綴,亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。
  • 勒索病毒「Satan」新變種來襲 騰訊電腦管家可解密恢復
    近日,騰訊電腦管家監測到國內一大批伺服器遭入侵,經分析確認,發現植入的勒索病毒為最新的Satan4.2勒索病毒變種。目前,騰訊電腦管家已全面攔截撒旦勒索病毒最新變種,用戶無需恐慌,但仍然需要對來歷不明的文件保持警惕,保護個人文檔安全。
  • GlobeImposter勒索病毒再度攻擊醫院 安全專家支招防禦
    近日,國內某醫院系統遭受GlobeImposter勒索病毒攻擊,導致醫院業務系統癱瘓,患者無法就醫。據悉,勒索病毒通過醫院的防火牆,感染了醫院的多臺伺服器,入侵整個系統,導致部分文件和應用被病毒加密破壞無法打開,資料庫文件被破壞,攻擊者要求院方必須在六小時內為每臺中招機器支付1比特幣贖金,才能解密文件。
  • 勒索病毒防不勝防,數據安全如何保護?
    (圖片來源於網絡)    結合近期勒索病毒事件,勒索病毒已越發肆無忌憚,防不勝防,無疑給各地其他企業、機構等敲響警鐘,面對勒索,企業信息應該如何保護?數據是珍貴的無形資產,勒索病毒不能破解,那就只好做好預防。面對勒索病毒,利用鐵威馬NAS,及時備份數據避免損失,無懼病毒威脅!
  • 勒索病毒「後浪」奔湧:BalaClava、WannaGreenHat家族爭相出位
    該勒索病毒家族主要有KEY0001、KEY0003、KEY0004、KEY0005等多種變種,通常在暴力破解遠程桌面口令成功後再進行手動投毒,並採用NTRU加密算法的密鑰加密操作。其會在被攻陷主機上部署一個完整的VirtualBox虛擬機軟體,然後將主機的磁碟映射到虛擬機中,從而達到在虛擬機中運行勒索病毒加密主機中文件,或者竊取用戶重要數據以威脅用戶支付贖金的目的。據有效統計,該病毒索要的贖金在20萬美元到60萬美元不等。
  • 斯福賽特:勒索病毒是什麼?要怎麼預防?中了勒索病毒還有救嗎?
    2.病毒加密:該類勒索為最常見的病毒類型攻擊手法,主要分為兩類,一是劫持作業系統引導區禁止用戶正常登錄系統,二是使用高強度的加密算法加密用戶磁碟上的所有數據文件,兩種方式可能存在相互引用。病毒由於使用高強度的對稱或非對稱加密算法對數據進行了加密,當無法拿到文件解密密鑰的情況下,解密恢復文件的可能性極低。這也是勒索病毒攻擊者能一次次得手的技術前提。
  • 勒索病毒又來了?!應對勒索病毒的災備建設勢在必行
    △點擊「數騰軟體」並設為「星標」,及時獲取數騰最新資訊日前,某電子巨頭位於墨西哥華雷斯城的CTBG MX生產設施遭到DoppelPaymer勒索軟體攻擊,攻擊者在對設備加密之前先竊取了未經加密的文件數騰在雲災備領域深耕多年,已經幫助數十家遭遇勒索病毒的用戶快速恢復業務,並保護數據安全。數騰基於雲原生災備技術的防勒索病毒災備解決方案,防、治結合,能夠解決傳統容災、高可用無法解決的邏輯性錯誤問題,用更低的成本為用戶提供對抗勒索病毒的利器,有效保護業務穩定運行及數據安全高可用。
  • 全球遭受新一輪勒索病毒攻擊 新勒索病毒在中國沒有蔓延土壤
    其中,俄羅斯、烏克蘭兩國約有80多家公司被新勒索病毒Petya感染,導致大量電腦無法正常工作,要求用戶支付300美元的加密數字貨幣才能解鎖。事件新勒索病毒再度席捲全球烏克蘭政府機構、中央銀行、能源及通信系統、基輔國際機場等均遭遇黑客攻擊。烏克蘭車諾比核設施輻射監測系統因此被迫轉成人工操作模式。