勒索病毒也有地方標志?警惕后綴為 “.beijing” 的勒索病毒
0x0概述
近年來,老式勒索病毒依舊活躍,而新型勒索病毒花樣百出,深信服安全云腦就捕獲到一款具有“地方特色”的勒索病毒,其加密后綴為.beijing。
該病毒會加密指定后綴文件,在系統盤加密用戶目錄下的文件,并生成勒索提示文檔(!RECOVER.txt),要求用戶通過郵箱聯系黑客,使用比特幣支付贖金來解密個人文件。
0x1詳細分析
該樣本使用UPX加殼,編譯時間為2019年9月10日,使用C++編寫;
大量函數調用使用動態計算的地址,以阻止對文件進行逆向分析;
使用LoadLibrary、GetProcAddress加載kernel32、advapi32等DLL及部分函數;
從自身讀取數據:
配置文件使用了protobuf序列化;
包含大量加密文件后綴:
生成用戶Personal ID及Hash值,Personal ID隨機生成并使用base 64加密;
在文件目錄下創建勒索提示文檔!RECOVER.txt及lock_XXX文件;
勒索提示文檔:
遍歷目錄下所有文件;
打開待加密文件;
重命名為*.beijing;
使用AES算法加密;
文件末尾寫入二次加密后的AES密鑰
完成加密后自刪除。
0x2 IOC
MD5:9ed1bc466b3a1f1844f50791c16a77c1
0x3深信服安全產品解決方案
深信服下一代防火墻AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品,已集成了SAVE人工智能引擎,均能有效檢測防御此惡意軟件,已經部署相關產品的用戶可以進行安全掃描,檢測清除此惡意軟件,如圖所示:
1. 深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺:
64位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot...
32位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot...
2. 深信服安全感知、下一代防火墻、EDR用戶,建議及時升級最新版本,并接入安全云腦,使用云查服務以及時檢測防御新威脅;
3. 深信服安全產品繼承深信服SAVE安全智能檢測引擎,擁有對未知病毒的強大泛化檢測能力,能夠提前精準防御未知病毒;
4. 深信服推出安全運營服務,通過以“人機共智”的服務模式提供安全設備策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防范此類威脅。
0x4 加固建議
1. 使用高強度的主機密碼,并避免多臺設備使用相同密碼,不要對外網直接映射3389等端口,防止暴力破解;
2. 避免打開來歷不明的郵件、鏈接和網址附件等,盡量不要在非官方渠道下載非正版的應用軟件,發現文件類型與圖標不相符時應先使用安全軟件對文件進行查殺;
3. 定期使用安全軟件進行全盤掃描和處置,定期檢測系統漏洞并且進行補丁修復。
0x5 咨詢與服務
您可以通過以下方式聯系我們,獲取關于該病毒的免費咨詢及支持服務:
1、撥打電話400-630-6430轉6號線(已開通勒索軟件專線);
2、關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢;
3、PC端訪問深信服社區 bbs.sangfor.com.cn,選擇右側智能客服,進行咨詢。
