Geerban勒索病毒正在爆破传播，还用了数十款密码抓取工具

一、概述

腾讯安全御见威胁情报中心接受到用户求助，称其公司内服务器文件被全盘加密，被加密文件全部修改为.geer类型。经远程协助查看，攻击者疑似通过RDP弱口令登录成功后投毒，再将系统日志全部清除，并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多，攻击者利用这些工具，对内网其它机器实施攻击，以扩大勒索病毒对该企业网络的破坏数量，勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件，暂无有效的解密工具，我们提醒各政企机构高度警惕，尽快消除危险因素，强化内网安全。 

二、分析

该勒索病毒编写极为简洁，仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数，希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时，该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件，整个勒索加密模块更像是为了此次攻击，紧急编写制作而成。 

病毒使用RSA+salsa20的方式对文件进行加密，RSA公钥硬编码Base64编码后存放，全局生成的salsa20密钥将被该公钥加密后作为用户ID使用，对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾，被加密文件暂时无法解密。 

如下图中，文件被加密后添加geer扩展后缀，同时留下名为READ_ME.txt勒索信，要求用户联系指定邮箱geerban@email.tg购买解密工具。 

查看用户侧染毒环境可知，攻击者并不满足于只攻陷这一条服务器，还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知，攻击者在目标机器部署了大量对抗工具，主要有进程对抗工具(processhacker，Pchunter等)，内网扫描工具（NS），系统日志清理工具(Loggy cleaner.exe)，同时还有大量的本地密码抓取工具（包括mimikztz本地口令抓取，各类浏览器密码抓取，邮箱密码抓取，RDP，VNC登录口令抓取等工具）。 

被攻击环境中存在大量残留的密码抓取工具，此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器，一旦该部分机器使用了与本机相同被窃取的弱密码，则也会同时成为攻击者加密目标。

联系攻击者可知，其索要0.37比特币的解密赎金，市值约1.7万人民币。 

三、安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件。

IOCs

MD5:

b27e50375a815f59a8a8b33fd5d04367