警惕Rapid勒索病毒新变种

千里目实验室 勒索软件 2018年11月2日发布
Favorite收藏

导语:近日,深信服安全团队接到国内企业反馈,称其中了勒索病毒。我们第一时间获取到了相应的病毒样本,确认此样本为Rapid勒索家族的变种,同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为no_more_ransom后缀名的文件。

近日,深信服安全团队接到国内企业反馈,称其中了勒索病毒。我们第一时间获取到了相应的病毒样本,确认此样本为Rapid勒索家族的变种,同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为no_more_ransom后缀名的文件,然后对用户进行勒索。

Rapid勒索病毒在2017年爆发过一次,原始版本的加密后缀为.rapid。本次发现这次变种,国内还是首次发现,疑似这个家族开始活跃,目前此勒索病毒无法解密。

该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

病毒分析

Rapid勒索进程为info.exe。

图片1.png

对应的路径在AppData\Roaming下

图片2.png

主体功能如下:

图片3.png

病毒入口处对当前的主机语言进行判断,若语言为俄罗斯(0x419),则不进行加密操作。接着病毒会删除卷影备份。最后还会创建两个定时任务来实现病毒自动运行。

图片4.png

病毒自复制到AppData\Roaming目录下。

图片5.png

结束办公软件

· msftesql.exe sqlagent.exe sqlbrowser.exe  sqlservr.exe

· sqlwriter.exe oracle.exe ocssd.exe    dbsnmp.exe

· synctime.exe mydesktopqos.exe agntsvc.exe

· isqlplussvc.exe  xfssvccon.exe  mydesktopservice.exe

· ocautoupds.exe agntsvc.exe agntsvc.exe agntsvc.exe

· encsvc.exe firefoxconfig.exe tbirdconfig.exe  ocomm.exe

· mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe

· sqbcoreservice.exe   excel.exe infopath.exe msaccess.exe

· mspub.exe onenote.exe outlook.exe powerpnt.exe

· steam.exe thebat.exe thebat64.exe thunderbird.exe

· visio.exe  winword.exe wordpad.exe taskmgr.exe

干掉杀毒软件

· AVP.EXE  ekrn.exe  avgnt.exe  ashDisp.exe

· NortonAntiBot.exe Mcshield.exe avengine.exe cmdagent.exe  

· smc.exe persfw.exe pccpfw.exe fsguiexe.exe cfp.exe

· msmpeng.exe

在注册表中创建自启动项,实现开机自动加密。

图片6.png

初始化公钥&密钥。

图片7.png

公钥和密钥存储在HKCU\Software\EncryptKeys路径下。

图片8.png

开始加密

图片9.png

被加密文件的后缀被改为.no_more_ransom

图片10.png

加密完后自动弹出勒索提示框。

图片11.png

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、Rapid勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

如若转载,请注明原文地址: http://www.4hou.com/typ/14323.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论