NEMTY勒索病毒V1.6变种节日期间高发,企业用户须小心防范

腾讯安全 勒索软件 2019年10月11日发布
Favorite收藏

导语:腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。

一、概述

腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂无法解密,我们提醒各企业提高警惕。

NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。从该变种的感染数据看,国庆期间有明显上升。 

image.png

主要受害地区为江苏、辽宁、河南等省。 

image.png

NEMTY勒索病毒v1.6变种的主要特点:

1.会检查感染痕迹,已被感染的系统,不会二次感染;

2.病毒有感染白名单国家,俄罗斯、白俄罗斯、乌克兰及多个中亚国家不感染;

3.病毒加密文件前会结束若干个数据库软件、Office程序的进程,停止相关服务,使加密文件时避免文件锁定而中止;

4.病毒会添加计划任务来自动运行;

5.加密白名单中的文件或文件夹不会被加密;

6.病毒会删除磁盘卷影信息,避免用户通过这些信息恢复数据;

7.被加密的文件后辍为_NEMTY_randome_7位随机字符串_

二、详细分析

NEMTY勒索病毒v1.6变种外壳程序在内存中解密出勒索payload进一步执行,外壳最终解密方式为使用硬编码的字串循环异或 

image.png

病毒运行后首先检查自身互斥体,注册表信息,当机器已经被感染过,则不再进行二次感染,使用互斥体为just_a_game

image.png

随后获取感染环境ip,国家,用户名,机器名,系统版本,GUID,解密出硬编码的rsa公钥信息,硬盘信息,加密扩展后缀信息等然后上报。在此过程中,会对当前感染的国家进白名单判定,以便在后续加密过程中对白名单国家进行放行,过程中涉及的大部分字串以Base64+RC4加密存放。

ip获取接口:

http://api.ipify.org

国家获取接口:

http://api.db-ip.com/v2/free/xxx.xxx.xxx.xxx/countryName

信息上报接口:

https://nemty.hk/public/gate?data=

白名单国家列表:

Russia(俄罗斯)、Belarus(白俄罗斯)、Kazakhstan(哈萨克斯坦)、Tajikistan(塔吉克斯坦)、Ukraine(乌克兰)、Azerbaijan(阿塞拜疆)、Armenia(亚美利亚)、Kyrgyzstan(吉尔吉斯坦)、Moldova(摩尔多瓦)

image.png

image.png

image.png

病毒执行过程中使用到的部分字串使用Base64解码+RC4解密,RC4-KEY:fuckav。 

image.png

病毒加密前会在本地生成rsa密钥对,随后会将生成的公钥和硬编码的rsa公钥一同导入,硬编码公钥用于加密本地生成的rsa密钥信息,AES文件加密密钥将被本地生成的rsa公钥加密。

image.png

image.png

加密文件前结束进程名中包含以下关键字的进程:

Sql

Winword

Wordpad

Outlook

Thunderbird

Oracle

Excel

Onenote

Virtualboxvm

Node

QBW32

WBGX

Teams

Flow 

image.png

停止以下相关服务:

DbxSvc

OracleXETNSListener

OracleServiceXE

AcrSch2Svc

AcronisAgent

Apache2.4

SQLWriter

MSSQL$SQLEXPRESS

MSSQLServerADHelper100

MongoDB

SQLAgent$SQLEXPRESS

SQLBrowser

CobianBackup11

cbVSCService11

QBCFMontorService

QBVSS 

image.png

将自身拷贝至user目录并设置计划任务

image.png

删除卷影信息

image.png

加密前避开以下白名单文件、目录

image.png

1.6版本变种主要更新了密钥生成算法,较老版本相比新增了获取当前进程数进行随机干扰

image.png

1.6版本文件加密使用AES-ECB进行加密,加密使用WinCryptAPI,密钥为生成的0x20字节的随机值计算sha256所得。

image.png

老版本密钥生成算法相对简单,文件加密使用修改过的AES-CBC模式,Key全局生成1次,IV对每个文件单独生成。 

image.png

image.png

文件被加密后被添加_NEMTY_randome随机扩展后缀 

image.png

生成加密扩展名_NEMTY_random_-DECRYPT.txt的勒索说明文档,文档标题可看出病毒已更新至v1.6版本。

image.png

三、安全建议

企业用户针对该病毒的重点防御措施:

1.该病毒主要通过垃圾邮件和网页挂马传播,需要企业用户小心处理电子邮件。及时升级操作系统补丁,避免因浏览器漏洞而导致网页挂马攻击发生;

2. 对重要文件和数据(数据库等数据)进行定期非本地备份。

企业用户通用的防病毒措施:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问;

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;

5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

6、在终端/服务器部署专业安全防护软件。

个人用户:

勿随意打开陌生邮件,关闭Office执行宏代码;

IOCs

MD5:

3e6672a68447e4e7c297e4dd7171b906

6c05aa998d0523f2855769bd30b2d0d1

如若转载,请注明原文地址: https://www.4hou.com/typ/20783.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论