|
概述 近日,腾讯御见威胁情报中心监控到,一个新型C#编写的勒索病毒FilesLocker已开始逐渐蔓延。通过我们捕获到的病毒样本可知,该病毒文件名伪装了Windows Update文件,使其传播时具有迷惑性。 目前该病毒的感染量较为有限,病毒传播渠道也不甚明确,显然是个新手。但危险的是,病毒作者正在大量招募病毒传播代{过}{滤}理,一旦FilesLocker勒索病毒具备足够丰富的传播渠道,将会成为企业和个人数据安全的灾难。显然,这个新出现的勒索病毒刚刚问世就走在毁灭之路上。 FilesLocker勒索病毒几乎会加密所有日常工作中使用的文件,包括Office、数据库、源程序、音频、视频、压缩文件,被加密的文件扩展名会被添加.locked后辍名,加密机制和其他勒索病毒类似,没有私钥将无法完成解密。 技术分析
图1 病毒原始文件名:Windows Update.exe 图2病毒运行后会初始化文件加密Key,加密的部分文件目录和要加密文件扩展名 病毒加密文件类型包含了常见的各类型文档,图片,视频,音频,数据存储文件类型。 图3 对指定的部分系统文档目录进行深层遍历文件加密 图4 获取各磁盘驱动器进行目录,文件遍历,并白名单排除系统根目录的深层遍历 图5 对遍历到文件判断为有效扩展后缀后进行文件加密 图6 文件加密使用AES算法,加密完成后会添加.locked扩展后缀 图7 强随机生成的AES文件加密Key 图8 文件加密Key使用RSA算法加密后保存为用户ID,无法拿到RSA私钥情况下,无法进行文件解密 图9 加密文件完成后隐藏窗口模式命令行执行cmd删除系统卷影信息 图10 病毒会留下中英两种语言的勒索信息提示文件 图11 并打开指定的网页,页面提示中美两种语言的勒索提示信息 图12 勒索病毒显示窗口展示勒索信息,勒索0.18比特币,约1000美元,折合人民币近7000元。 图13 据外媒相关报道,该病毒已开始公开招募病毒传播代{过}{滤}理,病毒的勒索消息使用了中英两种语言。一旦该病毒获得到足够多的传播渠道,极有可能为个人和企业的数据安全带来极大的隐患。 IOCsMd5: d1c2f79125818f1e7ea16784acf63712 URL hxxps://i.loli.net/2018/08/31/5b88484028ab1.png
hxxps://2no.co/239Ys5 安全建议企业用户: 1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、 对重要文件和数据(数据库等数据)进行定期非本地备份。 6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 图14 8、 使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 图15 个人用户: [size=10.5000pt]1、 开启腾讯电脑管家防止遭遇勒索病毒 [size=10.5000pt]2、 打开腾讯电脑管家工具箱中的文档守护者功能,文档守护者可以利用磁盘冗余空间备份数据文件,极端情况下文件被勒索病毒破坏时,可以帮助恢复文档。 图16
| 
发表于 2018-11-1 11:36:44
要不,你先试试