多款勒索病毒借RDP爆破攻击传播，政企单位须高度警惕

一、概述

近日，腾讯安全威胁情报中心接收到多起勒索病毒反馈，经排查，攻击者均为通过弱口令爆破方式入侵，最终在被攻击机器内投毒。由于部分被攻陷企业内网多台机器使用同一口令，一度导致局域网内多台重要系统被病毒加密。现在正值全民抗疫的关键阶段，很多政企机构采用远程办公，黑客利用RDP弱密码爆破攻击传播勒索病毒的行为，除了数据可能被加密，服务器被入侵，也存在信息泄露风险，对政企单位的网络安全构成严重威胁。

回顾近期这些活跃的利用爆破弱口令攻击的勒索病毒家族，主要包括GlobeImposter-HAPPY*CHOOSE系列，Crysis-海盗系列，Medusalocker-ReadInstructions系列，GarrantyDecrypt-马王系列。为防止全民抗疫期间，各企业远程办公遭遇勒索病毒趁火打劫，我们提醒各政企机构网管提高警惕，严防勒索病毒通过爆破弱口令的方式入侵。

1.GlobeImposter-HAPPY*CHOOSE系列

MD5:926f2f03e9eb01dc9fe65ab49ced96fe

GlobeImposter-HAPPY*CHOOSE系列主要变化为，会修改后缀作为HAPPY*CHOOSE格式，勒索信不再使用此前使用的exe弹窗格式，猜测此项变动原因为exe格式更容易被安全软件拦截查杀，导致用户侧无法直观看到勒索信，致使勒索流程共同困难，故改为使用了新样式的名为Decryption Info.html的勒索说明文档。

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统（腾讯御点）查杀病毒，也可参考以下步骤手动清除：

清理注册表以下位置数据及其对应路径下文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck

2.Crysis-海盗系列

MD5:13444cbb9e0942fd7f7adb39dba72e54

Crysis弃用了其使用多时的老版本勒索弹窗，改为使用海盗骷髅弹窗信件，勒索方式依然为使用指定邮箱，该病毒攻击者通常使用多种密码抓取工具，攻击成功后持续在内网进行爆破攻击扩散感染。

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统（腾讯御点）查杀病毒，也可参考以下步骤手动清除：

清除启动目录中的可疑文件，通常名为payload.exe，Info.hta，

同时排查清理AppData\Roaming目录下的可疑文件。

3.Medusalocker-ReadInstructions系列

MD5:ccc6290a1caad9dd709067acfd2bdfc6

Medusalocker勒索病毒加密文件完成后会添加.ReadInstructions扩展后缀，同时留下名为Recovery_Instructions.html扩展后缀，该病毒会创建定时任务，每15分钟执行一次，发现感染该勒索病毒后，在未清理干净病毒情况下，不建议使用移动存储介质对文件进行拷贝，否则可能会致使移动盘内数据同时被加密。

网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统（腾讯御点）查杀病毒，也可参考以下步骤手动清除： 

清除计划任务svhost启动项，以及Roaming目录下的svhost.exe

4.GarrantyDecrypt-马王系列

MD5:337cdd6d89e93362c8223fb8810dec2c

GarrantyDecrypt-马王系列较以前版本勒索说明信有些许变动，同时会释放到appdata目录中名为_uninstalling_.png图作勒索壁纸，壁纸显示群马奔腾图，加密文件扩展后缀为.horseleader，该病毒在完成目标文件加密流程后，会执行自删除操作，故染毒环境中通常没有病毒母体。

二、攻击分析

观察众多遭勒索病毒攻击企业，排查后多为被攻击者通过RDP爆破方式后远程投毒，同时攻击者通常还试图以被攻击机器为跳板机，在内网持续渗透以扩大战果。例如下图中机器被攻击沦陷时间为2020.2.25约6时，于6：44时机器内被投递勒索病毒，系统数据遭受病毒加密。

查看系统日志，可知系统在2020.2.24日已经开始遭受到大量弱口令爆破攻击，爆破过程长达数十个小时，最终机器被攻陷。

排查机器内环境，同时还在机器内检出了攻击者使用的密码抓取工具，内网扫描嗅探工具，攻击者企图使用mimikztz抓取本地机器登录口令后尝试继续对局域网内其它机器进行爆破攻击。而在多数情况下，攻击者也并不局限于使用一种密码抓取工具，以往我们观察到的勒索现场，攻击者就使用了数十款密码抓取工具（包括mimikztz本地口令抓取，各主流类浏览器密码抓取，邮箱密码抓取，RDP，VNC登录口令抓取等工具），这也极大提高了其内网再次发起攻击的成功率。

三、安全建议

目前正值全民抗疫的关键时期，网络黑产趁火打劫，会给相关单位造成严重影响，腾讯安全专家建议相关企业参考以下方案加固信息系统，避免遭遇勒索病毒攻击。

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

个人用户：

1、切勿随意打开陌生邮件附件，强烈建议关闭Office执行宏代码。

IOCs

MD5:

926f2f03e9eb01dc9fe65ab49ced96fe

13444cbb9e0942fd7f7adb39dba72e54

ccc6290a1caad9dd709067acfd2bdfc6

337cdd6d89e93362c8223fb8810dec2c