|
病毒简介 2018年12月,安全研究院发现一款由python语言编写的勒索软件Dablio,它的代码与两年前的HolyCrypt有些类似,该勒索软件似乎还在开发测试中,没有完全部署分发基础设施。和其他勒索软件类似,Dablio会加密doc、xls、ppt、iso等几十种文件,加密完成后会弹出窗口,包含赎金说明,描述您的文件发生了什么,以及如何支付赎金获取密钥解密文件。 它可以通过在RDP未受保护的配置打破,使用电子邮件,垃圾邮件和恶意附件,欺诈下载,僵尸网络,攻击,网站内喷射,假更新传播,重新包装感染的安装程序。 病毒攻击视频查杀病毒视频拦截病毒视频病毒分析病毒伪装成chrome谷歌浏览器,实际是python语言编写的勒索病毒,打包成EXE文件 反编译成功后可以看到病毒源代码,如下: 准备工作病毒运行后,首先删除所有数据备份,防止通过本地恢复 在C:\\Windows\\SoftwareDistribution\\Download目录下创建病毒副本 图-创建副本 加密文件遍历磁盘,对以下后缀文件进行加密 图-加密的文件后缀 该勒索病毒使用了AES-256算法进行加密 Key为定义的字符串的哈希值 文件大小和AES初始化向量IV被写在文件头 文件被加密,文件名前面被追加了(encrypted) 12个字符,如下所示: 图-被加密的文件 加密完成后,弹出勒索窗口,提示受害者文件已经被加密,需要通过购买比特币进行解密: 图-勒索窗口 解密文件因为该病毒使用了AES对称加密算法,key被硬编码到病毒文件中,因此被加密的文件是可以解密的 解密代码有一处错误,只可解密部分,修正代码后可以正确进行解密 图-解密对比 图-解密代码 IOCsMD5:CD4B864A78DA9FD674F099EC1703DBB9 Email:dablio@tuta.io Ransom Notes:#DABLIOGood Morning. Good afternoon. Good evening.I'm sorry to inform you that your computer was ENCRYPTED.ALL YOUR FILES WERE COMMITTED.PAY TO HAVE YOUR FILES IN NORMAL CONDITION.DO NOT WORRY! EVERYTHING WILL BE BACK.ACCESS THE WEBSITE WWW.LOCALBITCOIN.COM AND MAKE THE PURCHASE OFTHE BITCOINAND TRANSFER OF THE BITCOIN TO MY WALLET.AFTER WE SEND UNLOCK CODE OF YOUR FILES.THANKS; Email:dablio@tuta.ioCry Now. Laugh Later.Encrypts files with the following extensions:.jpg .jpeg .bmp .gif .png .svg .psd .raw .mp3 .mp4 .m4a .aac .ogg .flac .wav .wma .aiff .ape .avi .flv .m4v .mkv .mov .mpg .mpeg .wmv .swf .3gp .doc .docx .xls .xlsx .ppt .pptx .odt .odp .ods .txt .rtf .tex .pdf .epub .md .yml .yaml .json .xml .csv .db .sql .dbf .mdb .iso防御措施- 不要使用弱口令账号密码,要将系统的密码设置为复杂密码
- 尽量关闭不必要的文件共享和端口,如:445,135,139等
- 不打开来源不明的邮件附件,防止病毒通过钓鱼邮件攻击
- 及时安装系统补丁,防止病毒通过漏洞植入
- 安装杀毒软件开启防护,拦截查杀病毒
- 安装勒索病毒防御软件,防止重要文件被加密
- 对重要的文件进行定期备份
| 
发表于 2018-12-14 19:58:38
