<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • 注入型勒索病毒Ryuk,伸向x64系統的魔爪

    2019-02-27 39689人圍觀 ,發現 1 個不明物體 終端安全

    一、背景介紹

    Ryuk是一款通過垃圾郵件和漏洞利用工具包傳播的勒索病毒,最早在2018年8月由國外某安全公司報道,其代碼結構與HERMES勒索病毒十分相似;早前,深信服安全團隊針對32位的Ryuk勒索病毒進行了詳細的技術分析,并密切關注該勒索家族的發展動向,對捕獲的針對64位系統版本的Ryuk勒索病毒進行了詳細的技術分析。

    二、信息概述

    1.勒索病毒的運行流程如圖:

    Ryuk勒索病毒.png

    2.勒索信息如圖:

    24.png3.加密后文件如圖:

    29.png三、詳細分析

    1.獲取系統版本進行判斷:

    image.png

    2.線程功能-終止xchange相關進程:

    image.png

    image.png

    3.線程功能-查找spooler相關服務進行刪除:

    image.pngimage.png

    4.提升進程權限:

    image.png

    5.獲取進程的登錄用戶信息:

    image.png

    6.查找”csrss.exe”、”explorer.exe”、”lsaas.exe”進程中的一個進行注入:

    image.png

    7.執行注入進程的代碼,根據系統版本在系統目錄下創建文件夾:

    image.png

    image.png

    8.獲取API地址:

    image.png

    9.提升注入進程的權限:

    image.png

    10.生成AES密鑰并使用RSA公鑰進行加密:

    image.png

    11.解密出勒索文件信息:

    image.png

    image.png

    12.遍歷磁盤,對文件進行加密:

    image.png

    13.在根目錄釋放勒索文件“RyukReadMe.txt”:

    image.png

    14.排除”$Recycle.Bin”、”AhnLab”、”Chrome”、”Mozilla”、”WINDOWS”、”RyukReadMe.txt”、”UNIQUE_ID_DO_NOT_REMOVE”、”PUBLIC”目錄或文件,以及”dll/Dll/hrmlog/exe/EXE”類型的文件:

    image.png

    image.png

    15.加密滿足條件的文件:

    image.png

    16.對加密文件設置已加密標識:

    image.png

    17.重命名加密后的文件,添加”.RYK”后綴:

    image.png四、解決方案

    針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

    病毒檢測查殺

    1.深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

    http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

    2.深信服EDR產品及防火墻等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

    image.png

    病毒防御

    深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

    1.及時給電腦打補丁,修復漏洞。

    2.對重要的數據文件定期進行非本地備份。

    3.不要點擊來源不明的郵件附件,不從不明網站下載軟件。

    4.盡量關閉不必要的文件共享權限。

    5.更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

    6.如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

    7.深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

    8.深信服防火墻客戶,建議升級到AF805版本,并開啟人工智能引擎Save,以達到最好的防御效果。

    最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

    *本文作者:千里目安全實驗室,轉載請注明來自FreeBuf.COM

    發表評論

    已有 1 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看