查看: 2404|回复: 6
收起左侧

[技术原创] Aurora(欧若拉)勒索病毒来袭,已有企业被勒索,电脑管家可解密

[复制链接]
腾讯电脑管家
发表于 2019-3-4 17:39:03 | 显示全部楼层 |阅读模式

近日,腾讯安全御见威胁情报中心检测到,山东某企业感染勒索病毒,观察该病毒时间戳信息可知该病毒为2019年2月编写,病毒PDB信息中有Aurora工程名字样。鉴于此,我们将该新型勒索病毒命名为Aurora(欧若拉)。该病毒目前已知依靠垃圾邮件传播,被病毒感染后系统中上百种类型文件均会被加密后添加.cryptoid扩展后缀,勒索者威胁受害者缴纳相当于350美金的比特币来获取解密工具。观察当前已知勒索者使用的钱包可知,该病毒已至少成功实施勒索并获利3次。而经腾讯安全专家分析,该勒索病毒加密的文件可解密还原,网民无需过度惊慌。

文件时间戳
PDB信息

分析

勒索病毒运行后首相将自身设置为MSFEEditor启动项
随即生成密钥信息使用硬编码数据异或加密后存放到
C:\Users\UserName\AppData\Roaming\000000000.key文件
之后遍历磁盘文件开始加密

该病毒加密多种类型的格式文件,主要扩展后缀有以下类型
jnt、1CD、dt、cf、1c、doc、docx、xls、xlsx、ppt、pptx、pst、ost、msg、eml、vsd、vsdx、txt、csv、rtf、wks、wk1、pdf、dwg、onetoc2、snt、jpeg、jpg、docb、docm、dot、dotm、dotx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、edb、hwp、602、sxi、sti、sldx、sldm、vdi、vmdk、vmx、gpg、aes、PAQ、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、iso、vcd、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、pfx、der、one、accde、accdr、accdt、config、info、cad、py、lua、lzh、lzma、cdr、cdr3、cdr4、cdr5、m4a、ddb、ckt、lib、pcb、lbr、dsn、olb、dbc、bxl、alg、csa、cpa、pcbdoc、schdoc、gbr、gbx、art、ipc、drl、dxf、tcf、gto、dra、gbl、gtl、gtp、opj、gbo、gwk、gml、ewprj、dru、pho、gbp、edf、pro、kicad、rou、cwz、lia、phj、fpd、gts、gp1、g1、gp2、g2、g3、gp3、g4、gp4、gbs、gko、gpt、gpb、dat、schlib、pdblib、prjpcb、dsnwrk、prjcor、prjemb、libprj、reu、ppc、cam、jrl、pad、psm、bsm、lmc、prj、pdb、lgc、cel、lyt、psk、grb、pc
文件加密算法使用XTEA
加密完成后会添加.cryptoid扩展后缀
同时留下3个勒索说明文件,要求用户支付350美金的比特币
@@_DUBLE_@@.txt
@@_SOURCE_@@.txt
@@_TURBO_@@.txt
查看目前已知病毒作者勒索使用比特币钱包,分别在2019.2.18,2019.2.28,2019.3.18有比特币转入记录,目前共计收入0.27比特币,按当前比特币价格估算约价值1035美金,意味着该病毒作者已成功勒索3次。
分析病毒后可知该病毒可解密,编写测试Demo目测解密成功
打开被加密的图片已可正常浏览

安全建议
企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装腾讯御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、 开启电脑管家拦截病毒攻击;

2、 使用电脑管家文档守护者,利用磁盘冗余空间自动备份数据文件,万一遭遇勒索病毒破坏,有机会完整恢复数据。同时,文档守护者也支持部分勒索病毒加密文档的解密。


IOCs:
MD5
3866c2c441a67210f25f928ca7cfaf7c
比特币钱包:
3PVXGBEpCpLiWQApnZmdt22HgKpeBmeGoN

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
七游
发表于 2019-3-4 17:56:31 | 显示全部楼层
为啥你们的 勒索病毒搜索引擎 里搜索.cryptoid没结果,搜Aurora说无法解密呢?
是网页还没及时更新,客户端已经能解密了?



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
大明湖畔的乾隆
发表于 2019-3-4 19:12:39 | 显示全部楼层
估计我们用的是假管家

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
☆星~柯南Conan
发表于 2019-3-5 16:32:04 | 显示全部楼层
现在【勒索病毒搜索引擎】页面搜“Aurora”,已经是支持解密,不过需要联系官方要专版才可以,目前主线版本还没有合入。
wowocock
发表于 2019-3-5 17:57:45 | 显示全部楼层
查看目前已知病毒作者勒索使用比特币钱包,分别在2019.2.18,2019.2.28,2019.3.18有比特币转入记录,目前共计收入0.27比特币
今天才几号,2019.3.18的比特币转入记录是怎么获得的?
☆星~柯南Conan
发表于 2019-3-5 19:27:53 | 显示全部楼层
本帖最后由 ☆星~柯南Conan 于 2019-3-5 19:31 编辑
wowocock 发表于 2019-3-5 17:57
查看目前已知病毒作者勒索使用比特币钱包,分别在2019.2.18,2019.2.28,2019.3.18有比特币转入记录,目前 ...

转入记录应该是定期的,每个月18、28,我猜测的,如果不是这样,那就不清楚了。
大明湖畔的乾隆
发表于 2019-3-6 10:35:47 来自手机 | 显示全部楼层
wowocock 发表于 2019-3-5 17:57
查看目前已知病毒作者勒索使用比特币钱包,分别在2019.2.18,2019.2.28,2019.3.18有比特币转入记录,目前 ...

腾讯安全御见威胁情报中心,应该改成腾讯安全预见威胁情报中心,提前预知了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 19:41 , Processed in 0.140702 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表