网站 › 『病毒分析区』 › 谨防“神秘人”勒索病毒X_Mister偷袭

bambooslip 发表于 2019-4-27 20:42

谨防“神秘人”勒索病毒X_Mister偷袭

本帖最后由 bambooslip 于 2019-4-27 20:46 编辑

一、样本简介
近期，国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒，此勒索病毒的某些行为与Globelmposter类似，因联系邮箱中带有x_mister而被命名为X_Mister勒索病毒，该勒索病毒使用RSA+DES算法加密文件，自身不具备横向感染功能，通常由攻击者对目标进行RDP爆破后手动投放，或通过垃圾邮件传播，且加密完成后会进行自删除。深信服安全团队第一时间获取到相应的样本，并对样本进行了详细分析。
二、勒索病毒特征
1.勒索信息文本文件HOW TO BACK YOUR FILES.txt，如下所示：
https://www.4hou.com/uploads/20190425/1556197589313744.png
2.加密后的文件名，[原文件名]+，如下所示：
https://www.4hou.com/uploads/20190425/1556197599794943.png
三、详细分析1. 获取程序执行信息，并在内存中解密相应数据，如下所示：
https://www.4hou.com/uploads/20190425/1556197609857400.png
2.进行提权操作，设置进行权限为SeBackupPrivilege、SeRestorePrivilege、SeSecurityPrivilege、SeManageVolumePrivilege，如下所示：https://www.4hou.com/uploads/20190425/1556197619766756.png
3.关闭windows defender的实时防护、行为监控等，如下所示：
https://www.4hou.com/uploads/20190425/1556197636342817.png
4.设置为自启动项，实现开机自启动操作，如下所示：
https://www.4hou.com/uploads/20190425/1556197645796497.png
5.遍历设定卷标盘符，如下所示：
https://www.4hou.com/uploads/20190425/1556197652281783.png
6.遍历网络共享目录文件，如下所示：
https://www.4hou.com/uploads/20190425/1556197660962329.png
7.遍历磁盘目录，如下所示：
https://www.4hou.com/uploads/20190425/1556197668842970.png
8.创建线程遍历共享目录和磁盘目录下的文件，然后创建线程进行加密操作，如下所示：
https://www.4hou.com/uploads/20190425/1556197676164779.png
9.生成隐藏文件.BFC0E91B00AE8A0620D3，写入相应的勒索相关信息，加密后缀、勒索文本文件名、勒索软件版本号等，如下所示：
https://www.4hou.com/uploads/20190425/1556197763971679.png
10.生成勒索信息文本文件，如下所示：
https://www.4hou.com/uploads/20190425/1556197800548592.png
11.加密文件操作，加密算法为RSA+DES，如下所示：
https://www.4hou.com/uploads/20190425/1556197772409914.png
13.加密完成之后，删除自启动注册表项，如下所示：
https://www.4hou.com/uploads/20190425/1556197787152472.png
14.执行删除磁盘卷影 、删除远程桌面连接信息 、删除日志信息等操作，如下所示：
https://www.4hou.com/uploads/20190425/1556197812923033.png
15.进行自删除操作，如下所示：
https://www.4hou.com/uploads/20190425/1556197819300567.png
四、 解决方案
针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。病毒防御深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：1、及时给电脑打补丁，修复漏洞。2、对重要的数据文件定期进行非本地备份。3、不要点击来源不明的邮件附件，不从不明网站下载软件。4、尽量关闭不必要的文件共享权限。5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。6、如果业务上无需使用RDP的，建议关闭RDP。最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。
如若转载，请注明原文地址： https://www.4hou.com/typ/17664.html

挥毫只为你 发表于 2019-4-28 13:46

单词 which 写错了 正确应该是this is your personal ID whichyou have to send in first letter.

大佬喝冰阔落 发表于 2019-5-7 08:57

我们公司电脑昨晚上被感染了，所有晚上未关机的电脑都被感染了服务器生成了.BFC0E91B00AE8A0620D3等等异常文件，请问现在有没有什么解决办法

zgg2019 发表于 2019-4-27 20:56

感谢楼主

kbvsfm 发表于 2019-4-27 21:24

不错，学习了

inside 发表于 2019-4-27 21:35

最近得小心点

xingjm 发表于 2019-4-27 22:24

把代码这样直接贴出来是惯例吗？这样真的好吗{:17_1054:}

020lk 发表于 2019-4-27 23:58

谢谢分享

dakjwx2014 发表于 2019-4-28 06:50

感谢楼主

rain0218C 发表于 2019-4-28 08:40

学习一下，感谢楼主！

day2up 发表于 2019-4-28 10:07

太恶心了，现在都通过这种方式来挣钱了

awzh1980 发表于 2019-4-28 10:35

谢谢提醒

查看完整版本: 谨防“神秘人”勒索病毒X_Mister偷袭