股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
【威胁直击】警惕!Thanos勒索病毒变种,可(kě)加密共享网络资源
发布时间 :2021年05月08日
类型 :勒索软件
分(fēn)享:
近日,亚信安(ān)全网络实验室截获了Thanos勒索病毒最新(xīn)变种,经过对该变种进行深入分(fēn)析,研究人员发现此变种所有(yǒu)的函数均经过混淆,所有(yǒu)的字符串均经过base64加密。其运行后会删除卷影副本备份,加密共享网络资源,打开计算机遠(yuǎn)程权限,打开文(wén)件和打印机共享以及设置防火墙规则。在被攻击的机器中(zhōng),研究人员还发现了黑客工(gōng)具(jù)包,这些工(gōng)具(jù)用(yòng)来遠(yuǎn)程暂停客户机器上的安(ān)全软件并运行病毒。亚信安(ān)全将此勒索病毒命名(míng)為(wèi):Ransom.MSIL.THANOS.SM。
攻击流程
亚信安(ān)全产(chǎn)品解决方案
亚信安(ān)全病毒码版本16.697.60,云病毒码版本16.697.71,全球码版本16.697.00 已经可(kě)以检测,请用(yòng)户及时升级病毒码版本;
亚信安(ān)全DDAN沙盒平台已经可(kě)以检测;
安(ān)全建议
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中(zhōng)包含的链接;
请到正规网站或者应用(yòng)商(shāng)店(diàn)下载程序;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口;
尽量关闭不必要的网络共享;
请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
病毒详细分(fēn)析
该样本中(zhōng)所有(yǒu)函数均作(zuò)了混淆并带有(yǒu)反调试,為(wèi)随机字符串。勒索软件的作(zuò)者可(kě)以通过更改病毒配置来选择病毒执行的步骤,例如快速加密,删除卷影副本,更改服務(wù)等操作(zuò)。
删除卷影副本:
删除C、D、E、F、G和H盘符的文(wén)件副本:
终止如下进程:
开启暂停服務(wù),其中(zhōng)包括一些杀毒软件:
设置服務(wù)启动:
config Dnscache start= auto
config FDResPub start= auto
config SSDPSRV start= auto
config upnphost start= auto
config SQLTELEMETRY start= disabled
config SQLTELEMETRY$ECWDB2 start= disabled
config SQLWriter start= disabled
config SstpSvc start= disabled
设置文(wén)件夹权限:
获取机器信息:
病毒加入自启动目录:
遍历网络资源以及共享映射,勒索软件也会加密这些共享资源:
设置注册表键值,修改主机的注册表键值:LocalAccountTokenFilterPolicy 為(wèi)1,使得机器能(néng)被遠(yuǎn)程管理(lǐ)。
字符串均被base64加密:
调用(yòng)cmd.exe
解密两层base64运行cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin,删除回收站防止用(yòng)户文(wén)件被找回。
Netsh设置防火墙:netsh advfirewall firewall set rule group=\"Network Discovery\" " new enable=Yes",使得自己能(néng)在共享列表中(zhōng)显示。
打开文(wén)件和打印机共享Netsh advfirewall frewall set rule group="File and Printer Saring" new enable=Yes
遍历A~Z磁盘:
若遍历到相应盘符则获取磁盘类型,CDRom除外:
遍历网络连接:
遍历以下100个后缀文(wén)件并加密,為(wèi)多(duō)線(xiàn)程加密:
加密后添加后缀.topunion:
快速加密模式和普通加密區(qū)别在于,每个文(wén)件仅一部分(fēn)将被加密。启用(yòng)此模式后,客户端会从文(wén)件中(zhōng)加密配置的数据量,并从文(wén)件的结尾处开始以加密的内容覆盖文(wén)件:
整个加密是AES加密,但AES加密的密钥会被RSA加密,RSAkeyvalue:
RSA加密AES key:
被RSA加密后的key会写入勒索信,每次加密的key都是随机的,而且使用(yòng)的是secure string所以无法解密:
生成勒索信RESTORE_FILES_INFO.TXT,其内容被base64加密:
将文(wén)件上传至ftp:
上传的文(wén)件要符合以下后缀docx 、pdf 、xlsx 和csv:
IOC:
SHA1
B637244EDB8D367ECE2615420B69FB1E10FEC8B9
分(fēn)享到微信
X