魔鬼撒旦（Satan）勒索病毒携永恒之蓝卷土重来 主攻数据库

腾讯电脑管家

0x1 概述

近日，腾讯御见威胁情报中心发现多起用户感染魔鬼撒旦（Satan）勒索病毒事件，撒旦（Satan）勒索病毒首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本。

分析发现此次撒旦（Satan）勒索病毒携手永恒之蓝漏洞攻击工具，利用NSA泄露的永恒之蓝漏洞工具主动攻击局域网内其他存在漏洞的系统，最终有选择性的将服务器数据库进行高强度加密。

加密完成后，会用中英韩三国语言索取0.3个比特币作为赎金，并威胁三天内不支付不予解密。

0x2威胁等级（高危）

危害评估：★★★★☆
       加密服务器数据库文件，若无备份，将对企业正常业务产生不可逆的破坏。

影响评估：★★★☆☆

       通过永恒之蓝漏洞攻击工具在局域网内横向传播，主动入侵未安装补丁的服务器。

技术评估：★★★☆☆

       虽然利用永恒之蓝攻击工具，只要安装系统补丁就能防御此类攻击。

0x3影响面

未安装永恒之蓝漏洞补丁的系统

0x4样本分析

st.exe首先会去C&C服务器上下载ms.exe(永恒之蓝工具)和Client.exe（Satan勒索病毒）并运行，运行后获取本地IP网段，利用释放的永恒之蓝组件进行感染其他机器。

利用shellExecute运行cmd.exe,执行“/c cd /D C:\\Users\\Alluse~1\\&blue.exe --TargetIp  x.x.x.x & star.exe --OutConfig a --TargetPort445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll--TargetIp x.x.x.x “

对永恒之蓝组件分析，ms.exe(永恒之蓝工具)是个SFX自解压文件，解压文件夹为C:\\Users\\Alluse~1\\，组件中注入lsass.exe程序中的down64.dll和down86.dll作用是下载运行st.exe。

Client.exe（Satan勒索病毒）运行后首先关闭sql相关服务：

MySQL、MySQLa、SQLWriter、SQLSERVERAGENT、MSSQLFDLauncher、MSSQLSERVER

结束数据库相关进程

Sqlservr.exe、mysqld.exe、nmesrvc.exe、sqlagent.exe、fdhost.exe、fdlauncher.exe、reportingservicesservice.exe、omtsreco.exe、tnslsnr.exe、oracle.exe、emagent.exe、perl.exe、sqlwriter.exe、mysqld-nt.exe

释放勒索信息ReadMe_@.TXT，比特币钱包地址：1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8，

联系邮箱：satan_pro@mail.ru

当文件在以下目录时，不加密

windows、boot、i386、st_v2、intel、recycle、jdk、lib、lib、all users、360rec、360sec、360sand、favourites、common files、internet explorer、msbuild、public、360downloads

Satan勒索病毒主要针对服务器的数据库进行攻击加密，当文件为如下后缀以及其他时，便会加密：

.mdf、.ldf、.myd、myi、frm、dbf、.bak、.sql、.rar、.zip、.dmp……

当为如下后缀时，不会加密

.cab、.dll、.msi、.exe、.lib、.iso、.bin、.bmp、.tmp、.log、.ocx、.chm、.dat、.sys、.wim、.dic、.sdi、.lnk、.gho、.pbk

之后创建线程对文件进行加密

向C&C上传受害者机器信息

勒索信息提供3种语言：英语，汉语和韩语，根据提示，需要支付0.3个比特币作为赎金，才会对文件进行解密，并且三天内没有支付的话，电脑中的文件将无法解密。

最后会从http://61.xxx.x.151/data/notice.exe下载notice.exe，存放至C盘根目录下运行，该exe同样也是个撒旦（Satan）勒索病毒，或许这是为了在受害者机器上运行的是最新版本的撒旦（Satan）勒索病毒

0x5解决方案

腾讯御见威胁情报中心提醒用户注意以下几点：

1、服务器关闭不必要的端口，方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html

2、使用腾讯御点（个人用户可使用腾讯电脑管家）的漏洞修复功能，及时修复系统高危漏洞；

3、服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；

4、推荐企业用户使用腾讯御点（下载地址：https://s.tencent.com/product/yd/index.html），个人用户使用腾讯电脑管家，拦截可能的病毒攻击。

0x6 IOCs

C&C：

http://61.100.3.151/data/log/

http://61.100.3.151/data/count.php

MD5：

09B235C80EBF9BE8617B513B9A44BAD0

9B15411692E75F6B5A5DA0400231718A

A5B47EBB75F71F5B06A58D588018C241

06608546BB9E19D943DB948C667C4685

2605276004x

个人版可以免费用腾讯御点吗？

杰伦Ｊ时代

2605276004x 发表于 2018-4-4 16:09
个人版可以免费用腾讯御点吗？

腾讯完全没有把心思放在安全上面，就算免费用也是垃圾！

☆星~柯南Conan

2605276004x 发表于 2018-4-4 16:09
个人版可以免费用腾讯御点吗？

应该不可以。管家和御点防护上其实差不多，只是御点需要填写申请（包括公司名称、联系方式等）才能使用。

2605276004x

☆星~柯南Conan 发表于 2018-4-4 22:10
应该不可以。管家和御点防护上其实差不多，只是御点需要填写申请（包括公司名称、联系方式等）才能使用。 ...

不在乎防御，反正也就那样，纯粹想玩玩，看着挺专业的，至少个人版是娱乐化严重。

☆星~柯南Conan

杰伦Ｊ时代 发表于 2018-4-4 21:14
腾讯完全没有把心思放在安全上面，就算免费用也是垃圾！

不扶墙就服你，成天就这个垃圾那个垃圾。腾讯没有把心思放在安全上？近几年腾讯安全做了什么你知道多少？你来做一款杀软给大家用用吧。

杰伦Ｊ时代

☆星~柯南Conan 发表于 2018-4-4 22:27
不扶墙就服你，成天就这个垃圾那个垃圾。腾讯没有把心思放在安全上？近几年腾讯安全做了什么你知道多少？ ...

如果真的有心思的话，国内管家不会做得这么差？你认为大腾讯没有安全人才？真真正正想搞安全的话，还会被360压着？

☆星~柯南Conan

杰伦Ｊ时代 发表于 2018-4-4 22:48
如果真的有心思的话，国内管家不会做得这么差？你认为大腾讯没有安全人才？真真正正想搞安全的话，还会被 ...

恩，腾讯很差，被宇宙第一无敌360压着，也是，都宇宙第一了，其他杀软弱爆了。

杰伦Ｊ时代

☆星~柯南Conan 发表于 2018-4-4 22:55
恩，腾讯很差，被宇宙第一无敌360压着，也是，都宇宙第一了，其他杀软弱爆了。

360实战确实宇宙第一！这个不可否认的！！！