新型勒索病毒KOXIC來襲,謹記做好終端防護
背景概述
秋收時節,海內外勒索事件不斷,在老牌勒索病毒家族不斷活躍的情況下,不斷有新型的勒索病毒家族出現,近期深信服安服應急響應中心與終端安全團隊捕獲了一個新型的勒索病毒家族。
該勒索病毒具備了常見的反調試、結束安全軟件、加密、刪除自身等多個功能。根據加密后綴和在勒索信中留下的郵箱信息,安全專家將其命名為KOXIC勒索病毒,目前暫無公開的解密工具。
KOXIC勒索信
病毒分析
KOXIC勒索病毒功能列表
對抗功能
反調試
利用了CheckRemoteDebuggerPresent、IsDebuggerPresent函數判斷程序是否被調試,如果被調試則結束程序本身。
結束安全軟件和數據軟件
利用LoadLibraryW函數獲取需要用到的dll,并利用動態遍歷函數名稱對應的序號方式動態獲取需要用到的API函數地址。
接著在注冊表中關閉了defender相關的安全功能。
使用工具結束安全軟件進程。
停止數據庫相關服務。
加密前
解密勒索相關信息
將數據依次傳入內存中,并利用異或的方式動態解密出加密后綴以及勒索的文本信息等。
勒索后綴為:KOXIC_KRSJO.
勒索所生成的txt名稱為:WANNA_RECOVER_KOXIC_FILEZ_KRSJO.txt
提權:
利用OpenProcessToken得到進程的令牌句柄提升自身程序權限。
主機**信息獲取**:
循環執行命令獲取主機信息以及IP地址等,并將信息輸出到%temp%目錄中
信息其中包括了:CPU、計算機名、計算機組、操作系統版本、IP地址等。
加密中**:**
該函數為勒索主要功能,實現了盤符遍歷、文件遍歷、文件判斷、國家判斷、和文件加密等功能。
循環遍歷,獲取當前主機的盤符和分區信息。
確認后對磁盤的所有文件進行遍歷。
對文件進行判斷。
勒索事先已將系統重要文件進行設置,避免在文件加密時將系統重要文件進行加密。
該勒索主要勒索的文件類型,依次可以判斷出該勒索主要勒索對象是數據庫等重要數據設施。
確認類型后,在該文件目錄生成勒索文本信息。
最后將文件映射到內存,實現對文件進行加密的目的。
將其后綴增加.KOXIC_TSVTF,執行完402220加密函數后,文件數據被加密。
查看文件內容,已完成加密。
加密后
彈出勒索信息:
利用notepad將%TEMP%目錄中的勒索信息彈出。
清理現場:
利用ping達到延時的目的,延時完畢后,刪除自身。
加固建議
1.日常生活工作中的重要的數據文件資料設置相應的訪問權限,關閉不必要的文件共享功能并且定期進行非本地備份;
2.使用高強度的主機密碼,并避免多臺設備使用相同密碼,不要對外網直接映射3389等端口,防止暴力破解;
3.避免打開來歷不明的郵件、鏈接和網址附件等,盡量不要在非官方渠道下載非正版的應用軟件,發現文件類型與圖標不相符時應先使用安全軟件對文件進行查殺;
4.定期檢測系統漏洞并且及時進行補丁修復。
