关键词:22|1931|信息|1932|病毒分析|攻击1931|22|1932|桌面背景|格式|网址

2次攻击的类似点病毒分析

  • 时间:
  • 浏览:4

文章内容文件目录

2次攻击的类似点病毒分析平时结构加固提议

前不久,深信服安全性团体持续接到许多客户中了勒索软件的寻求帮助。历经剖析清查发觉,在其中的勒索软件文档同样,为Sodinokibi大家族变异,且攻击印痕也是有共同之处,疑是同一伙网络黑客团队持续犯案。

2次攻击的类似点

都建立了一个“intel”文件夹名称用以储存病毒感染文档及黑客工具:

都将病毒感染取名为“d.exe”并拷贝到起动文件目录:

病毒分析

动态性获得执行程序所需API详细地址:

建立互斥量“Global\1DE3C565-E22C-8190-7A66-494816E6C5F5”,防止反复运作:

破译出数据加密配备信息:

配备信息为json文件格式文字,其包括以下信息。

免除文件夹名称:

“tencent fies”,”wechat files”,”perflogs”,”program files”,”mozilla”,”windows.old”,”program files (x86)”,”intel”,”google”,”windows”,”application data”,”$windows.~bt”,”system volume information”,”appdata”,”msocache”,”programdata”,”tor browser”,”$windows.~ws”,”boot”

免除文件夹名称:

“ph.exe”,”bro.exe”,”ntuser.dat”,”sais.exe”,”xm64.exe”,”boot.ini”,”bootfont.bin”,”ntuser.dat.log”,”autorun.inf”,”xwdef.exe”,”ntldr”,”desktop.ini”,”ntuser.ini”,”bootsect.bak”,”ns.exe”,”dudok.exe”,”thumbs.db”,”iconcache.db”

免除文件后缀:

“wpx”,”mpa”,”ani”,”drv”,”mod”,”idx”,”themepack”,”msu”,”icl”,”ocx”,”cpl”,”scr”,”adv”,”shs”,”prf”,”sys”,”diagpkg”,”msp”,”386″,”theme”,”com”,”nls”,”bat”,”msstyles”,”icns”,”lock”,”ics”,”nomedia”,

“deskthemepack”,”diagcab”,”hlp”,”cmd”,”rtp”,”diagcfg”,”cur”,”rom”,”spl”

删除服务名:

“oracle”,”veeam”,”sql”,”vm”,”backup”

结束进程名:

“veeam”,”sql”,”vm”,”oracle”,”backup”

服务器域名:

praxis-management-plus.de;iqbalscientific.com;retroearthstudio.com;lange.host;starsarecircular.org;urclan.net;lorenacarnero.com……

此外还包括:数据加密公匙、base64编号后的敲诈勒索信息文字、敲诈勒索信息文件夹名称文件格式等。

从上边的配备信息能够发觉该病毒感染变异有以下订制化特性:

1、免除文件夹名称除开系统软件文件夹名称、电脑浏览器文件夹名称以为了确保及其电脑浏览器可以一切正常应用外,还包括了腾迅及其手机微信的文件夹名称”tencent fies”、”wechat files”,说明其攻击总体目标将会较为趋向中国大陆,”intel”则是用以储存病毒感染文档及黑客工具的文件夹名称。

2、免除文件夹名称除开一些安装文件外,还包括普遍的黑客工具名及其勒索软件名,依据从过去Sodinokibi攻击当场获得到的文档,“xm64.exe”为登陆密码爬取专用工具、“xwdef.exe”为防火墙关闭专用工具、“ns.exe”为内部网漏洞扫描工具、“dudok.exe”为病毒感染文件夹名称,而”ph.exe”、”bro.exe”、”sais.exe”也是有可能是别的的黑客工具名。

编解码出的敲诈勒索信息文字以下:

依据键盘布局对以下語言地域开展免除:

建立注册表文件自启动项,假如数据加密全过程中被待机,重新启动后可能执行数据加密:

实行powershell指令

“powershell -e RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==”,在其中base64编解码后为——“Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}”,其作用为删除卷影团本,避免根据卷影团本的方法修复被加密文件:

枚举类型并删掉相对服务项目:

完毕相对服务项目过程:

遍历硬盘对文档开展数据加密:

改动桌面背景:

提交系统信息到网络服务器:

数据加密进行后病毒感染文档自删掉:

数据加密后状况以下,将桌面背景改成深蓝色,文档加密后被加上任意后缀名,并转化成txt格式的敲诈勒索信息内容文档:

平时结构加固提议

1、生活起居工作上的关键的数据库文件材料设定相对的访问限制,关掉多余的共享文件作用而且按时开展非当地备份数据;

2、应用高韧性的服务器登陆密码,并防止几台机器设备应用同样登陆密码,不必对外开放网立即投射3389等端口号,避免暴力破解密码;

3、防止开启来路不明的电子邮件、连接和网址附注等,尽可能不要在第三方方式免费下载非原版的系统软件,发觉扩展名与标志不相符合时要先应用防护软件对文档开展杀毒;

4、按时检验安全漏洞而且立即开展补丁下载修补。

猜你喜欢