安全動(dòng)態(tài)

勒索病毒新玩法——加密鎖屏改密碼,私密文件公開化

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-11-10    瀏覽次數(shù):
 

信息來源:4hou

勒索病毒Megacortex新型變種相對(duì)以往所遇到的勒索病毒,在勒索手法上更為激進(jìn):不但加密用戶文件,還會(huì)進(jìn)一步修改Windwos登錄密碼,并在加密完畢后進(jìn)行鎖屏,更進(jìn)一步還會(huì)威脅受害者,若不繳納贖金則將主機(jī)上的文件公開。

一、Megacortex家族

Megacortex勒索病毒是國外較活躍的勒索家族,最初于今年1月份在VirusTotal平臺(tái)上被安全研究員發(fā)現(xiàn),并不斷對(duì)國外多個(gè)行業(yè)進(jìn)行加密勒索攻擊,包括有美國、加拿大、法國和荷蘭等。下圖是Megacortex勒索病毒演進(jìn)的時(shí)間軸: 

二、Megacortex變種行為分析

@該變種攜帶澳大利亞“MURSA PTY LTD”公司的數(shù)字簽名,運(yùn)行后會(huì)在C:\Windows\Temp路徑下釋放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。

· qibfmqkeM5-0.cmd,用于刪除釋放到C:\Windows\Temp路徑的文件。

 

· qibfmqkeM5-2.cmd,用于刪除磁盤卷影

 

· M5-990831122.dll,用于遍歷磁盤文件

· M5-685889264.dll,用于加密磁盤文件,加密后綴名為.m3g4c0rtx

@在加密完后進(jìn)行鎖屏,并且修改了用戶登錄密碼:

· cmdline:'net user win oo/yUfojOGfTN2Kh'

· cmdline:'C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh'

 

@生成勒索信息文本!-!_README_!-!.rtf,并以“若不繳納贖金則公開文件”的形式來威脅受害者,如下圖所示:

三、安全建議

解決方案

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時(shí)沒有解密工具,建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。深信服提醒廣大用戶盡快做好病毒檢測(cè)與防御措施,防范該病毒家族的勒索攻擊。

病毒防御

目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

1. 及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。

2. 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3. 不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4. 盡量關(guān)閉不必要的文件共享權(quán)限。

5. 更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。

6. 如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP。

最后,建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。

 
 

上一篇:美臺(tái)首次演練網(wǎng)絡(luò)攻防戰(zhàn),實(shí)為美國意圖固化網(wǎng)絡(luò)霸權(quán)夢(mèng)

下一篇:Facebook墮入史上最大危機(jī)近7000頁機(jī)密文件走漏