“Satan”勒索卷土重来

275751198

原文地址http://www.360.cn/n/10310.html

360互联网安全中心监控到，针对Windows服务器的勒索病毒“Satan”在进行一波更新之后卷土重来，于昨日晚些时候开始对大批企业服务器发起攻击。中招计算机中的数据库文件会被加密并加上后缀“dbger”，只有向黑客缴纳1个比特币的赎金才能解密文件。

样本一

样本二

hxxp://101.99.84.136/cab/sts.exe

pal家族

斯基

Access denied
The requested URL cannot be provided

http://101.99.84.136/cab/sts.exe
Blocked by Web Anti-Virus

Reason: dangerous URL

Detection method: databases

Click here if you believe that the web page has been blocked by mistake. The application will not block it anymore.

Message generated at: 22:18:26

----------------

Very funny！
14.07.2018 22.19.55;Detected object (file) deleted;G:\下载\dbger\dbger.ps1//data0000.bin;G:\下载\dbger\dbger.ps1//data0000.bin;not-a-virus:HEUR:AdWare.Win32.Generic;Adware;07/14/2018 22:19:55
事实上：

101.99.84.136/cab/dbger.ps1是一个PE反射注入脚本，能够将“Satan“勒索病毒注入到Powershell进程中执行，执行后计算机中的数据库文件，例如.mdf、.ldf、.myd、.dbf格式的文件将被加密。

---------------

这个sts.exe才是神。。

另一个载荷保存为c:/dbg.exe执行。该程序是一个漏洞扫描与利用程序，会扫描网络中存在上文提到的漏洞的服务器，并在这些服务器中植入“Satan”勒索病毒。

1. 14.07.2018 22.22.09;Detected object (file) deleted;G:\下载\sts.exe;Windows Explorer;G:\下载\sts.exe;07/14/2018 22:22:09;Trojan-Ransom.Win32.Cryptor.bun
   
2. 14.07.2018 22.22.09;Object (file) detected;G:\下载\sts.exe;Windows Explorer;G:\下载\sts.exe;07/14/2018 22:22:09;UDS:DangerousObject.Multi.Generic
   
3. 14.07.2018 22.22.09;Object (file) detected;G:\下载\sts.exe//data0025.res;Windows Explorer;G:\下载\sts.exe//data0025.res;07/14/2018 22:22:09;UDS:Trojan.Win32.Generic
   
4. 14.07.2018 22.22.08;Object (file) detected;G:\下载\sts.exe//data0024.res;Windows Explorer;G:\下载\sts.exe//data0024.res;07/14/2018 22:22:08;Trojan-PSW.Win32.Mimikatz.gen
   
5. 14.07.2018 22.22.06;Object (file) detected;G:\下载\sts.exe//data0022.res;Windows Explorer;G:\下载\sts.exe//data0022.res;07/14/2018 22:22:06;Trojan.Win32.ShadowBrokers.x
   
6. 14.07.2018 22.22.04;Object (file) detected;G:\下载\sts.exe//data0021.res;Windows Explorer;G:\下载\sts.exe//data0021.res;07/14/2018 22:22:04;Trojan.Win32.Agent.ijtd
   
7. 14.07.2018 22.22.02;Object (file) detected;G:\下载\sts.exe//data0020.res;Windows Explorer;G:\下载\sts.exe//data0020.res;07/14/2018 22:22:02;Trojan.Win32.ShadowBrokers.ay
   
8. 14.07.2018 22.22.01;Object (file) detected;G:\下载\sts.exe//data0019.res;Windows Explorer;G:\下载\sts.exe//data0019.res;07/14/2018 22:22:01;Trojan.Win32.ShadowBrokers.at
   
9. 14.07.2018 22.22.00;Object (file) detected;G:\下载\sts.exe//data0018.res;Windows Explorer;G:\下载\sts.exe//data0018.res;07/14/2018 22:22:00;Trojan.Win32.ShadowBrokers.u
   
10. 14.07.2018 22.21.58;Object (file) detected;G:\下载\sts.exe//data0017.res;Windows Explorer;G:\下载\sts.exe//data0017.res;07/14/2018 22:21:58;Trojan.Win32.ShadowBrokers.ao
    
11. 14.07.2018 22.21.58;Object (file) detected;G:\下载\sts.exe//data0016.res;Windows Explorer;G:\下载\sts.exe//data0016.res;07/14/2018 22:21:58;Trojan.Win32.EquationDrug.dp
    
12. 14.07.2018 22.21.57;Object (file) detected;G:\下载\sts.exe//data0015.res;Windows Explorer;G:\下载\sts.exe//data0015.res;07/14/2018 22:21:57;Trojan.Win32.ShadowBrokers.ak
    
13. 14.07.2018 22.21.56;Object (file) detected;G:\下载\sts.exe//data0014.res;Windows Explorer;G:\下载\sts.exe//data0014.res;07/14/2018 22:21:56;Trojan.Win32.Shadowbrokers.co
    
14. 14.07.2018 22.21.56;Object (file) detected;G:\下载\sts.exe//data0013.res;Windows Explorer;G:\下载\sts.exe//data0013.res;07/14/2018 22:21:56;Trojan.Win32.ShadowBrokers.ai
    
15. 14.07.2018 22.21.55;Object (file) detected;G:\下载\sts.exe//data0011.res;Windows Explorer;G:\下载\sts.exe//data0011.res;07/14/2018 22:21:55;Trojan.Win32.ShadowBrokers.ap
    
16. 14.07.2018 22.21.53;Object (file) detected;G:\下载\sts.exe//data0010.res;Windows Explorer;G:\下载\sts.exe//data0010.res;07/14/2018 22:21:53;Trojan.Win32.ShadowBrokers.ag
    
17. 14.07.2018 22.21.53;Object (file) detected;G:\下载\sts.exe//data0009.res;Windows Explorer;G:\下载\sts.exe//data0009.res;07/14/2018 22:21:53;Trojan.Win32.ShadowBrokers.ad
    
18. 14.07.2018 22.21.51;Object (file) detected;G:\下载\sts.exe//data0006.res;Windows Explorer;G:\下载\sts.exe//data0006.res;07/14/2018 22:21:51;Backdoor.Win32.ShadowBrokers.f
    
19. 14.07.2018 22.21.50;Object (file) detected;G:\下载\sts.exe//data0005.res;Windows Explorer;G:\下载\sts.exe//data0005.res;07/14/2018 22:21:50;Trojan.Win32.ShadowBrokers.cz
    
20. 14.07.2018 22.21.50;Object (file) detected;G:\下载\sts.exe//data0004.res;Windows Explorer;G:\下载\sts.exe//data0004.res;07/14/2018 22:21:50;Trojan.Win32.ShadowBrokers.ab
    
21. 14.07.2018 22.21.46;Object (file) detected;G:\下载\sts.exe//data0001.res;Windows Explorer;G:\下载\sts.exe//data0001.res;07/14/2018 22:21:46;Exploit.Win32.ShadowBrokers.ae
    
22. 14.07.2018 22.21.44;Object (file) detected;G:\下载\sts.exe//data0000.res;Windows Explorer;G:\下载\sts.exe//data0000.res;07/14/2018 22:21:44;UDS:Trojan-Ransom.Win32.Cryptor.sb
    
23. 14.07.2018 22.21.44;Detected object (file) moved to Quarantine;G:\下载\sts.exe//data0000.res;Windows Explorer;G:\下载\sts.exe//data0000.res;07/14/2018 22:21:44;Trojan-Ransom.Win32.Cryptor.bun
    
24. 14.07.2018 22.21.40;Object (file) detected;G:\下载\sts.exe//data0000.res;Windows Explorer;G:\下载\sts.exe//data0000.res;07/14/2018 22:21:40;Trojan-Ransom.Win32.Cryptor.bun
    

复制代码

WHALE-FALL

AVAST

230f4

ESET

小坏爷

WIN10 WD

pal家族

WHALE-FALL 发表于 2018-7-14 22:26
AVAST

提醒下，大小A都把卡饭附件网址拉黑了，什么附加下载都是报毒的。测试时关闭保护下载下来再检测。

WHALE-FALL

pal家族 发表于 2018-7-14 22:36
提醒下，大小A都把卡饭附件网址拉黑了，什么附加下载都是报毒的。测试时关闭保护下载下来再检测。

已经重发了

WHALE-FALL

pal家族 发表于 2018-7-14 22:36
提醒下，大小A都把卡饭附件网址拉黑了，什么附加下载都是报毒的。测试时关闭保护下载下来再检测。

这样

WHALE-FALL

pal家族 发表于 2018-7-14 22:36
提醒下，大小A都把卡饭附件网址拉黑了，什么附加下载都是报毒的。测试时关闭保护下载下来再检测。

谢谢提醒了

帝辛

？？不知道为什么用cent浏览器永远无法下载卡饭的附件？？有毒？？准确的说是样本区的附件。