小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

申博_安全防护 申博 35次浏览 未收录 0个评论

申搏官网开户

进入申搏官网开户,就是选对了投资的好方向!申博sunbet官网,永远拥有最新的投注游戏方式,真人荷官直播发牌、千万网友一起监督一起玩,透明公开,经得住检验!申博官网拥有最庞大的游戏客户群,好网站值得你信赖,代理加盟请联系我们,收入翻番,省心省力,尽在申博sunbet官网!

,

一、概述

腾讯平安御见要挟情报中心监测到,Medusalocker讹诈病毒在国内有部份感染,该病毒涌现于2019年10月,已知该病毒重要应用垂纶敲诈邮件及垃圾邮件流传。该病毒初期版本加密文件完成后增加扩大后缀.encrypted,最新流传病毒版本加密文件后增加.ReadTheInstructions扩大后缀。因为病毒运用了RSA+AES体式格局对文件举行加密,在未获得作者手中的RSA私钥时,暂无解密东西。进击者会向受害者讹诈1BTC(比特币),市值约6.5万元。我们提示政企机构高度小心,腾讯电脑管家及腾讯御点终端平安治理体系都可查杀阻拦该讹诈病毒。

中毒后尝试与病毒作者邮件沟通,对方开价讹诈1BTC购置解密东西,市值约6.5万元人民币。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

二、样本剖析

病毒运转后起首初始化加密运用信息,包括Base64编码的硬编码RSA公钥,白名单后缀,完毕效劳名,完毕历程名,讹诈文档信息等。

以下效劳名会被病毒住手:

wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,sqlwriter,msmdsrv,tomcat6,zhudongfangyu,SQLADHLP,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8

以下历程会被病毒完毕:

wxServer.exe,wxServerView,sqlservr.exe,sqlmangr.exe,RAgui.exe,supervise.exe,Culture.exe,RTVscan.exe,Defwatch.exe,sqlbrowser.exe,winword.exe,QBW32.exe,QBDBMgr.exe,qbupdate.exe,QBCFMonitorService.exe,axlbridge.exe,QBIDPService.exe,httpd.exe,fdlauncher.exe,MsDtSrvr.exe,tomcat6.exe,java.exe,360se.exe,360doctor.exe,wdswfsafe.exe,fdlauncher.exe,fdhost.exe,GDscan.exe,ZhuDongFangYu.exe

病毒加密文件时,会避开以下扩大名(即加密白名单):

.exe .dll .sys .ini .lnk .rdp .encrypted .ReadTheInstructions

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

随后病毒将硬编码的RSA公钥Base64解码后导入 。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

硬编码RSA公钥信息以下:

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

然后生成AES密钥,将其运用RSA算法加密后,拼接一同加密的加密扩大后缀信息,作为用户ID,该部份ID内容将被附加到文件末端和讹诈申明文件中。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

该讹诈病毒除遍历体系可见分区外,还会对隐蔽的分区举行挂载显现,以到达加密更多的文件的目标。

以下图中默许体系隐蔽的保存分区Z盘也将被加密。

病毒会增加计划任务,完成病毒顺序的耐久化驻留,计划任务会每15分钟实行一次,在病毒未清算完全情况下,会致使反复感染。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

Windows 平安描述符审计要领探讨:检察事宜日记平安性

在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢? 与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。 在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述

病毒加密文件时会尝试读取0x1000000(约16.8 MB)字节大小,读取胜利后轮回以0x2000字节大小分段举行加密,不足0x2000部份运用0添补。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

例以下图中0x18字节大小的文件将被添补加密为0x2000字节密文,随后文件末端寄存解密须要的附加数据。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

附加数据格式以下,顺次包括以下部份内容:

1.运用硬编码RSA公钥加密后的AES文件密钥数据

2.运用硬编码RSA公钥加密后的后缀信息数据

3.被加密文件原始明文长度0x0000000000000018

4.文件后缀明文长度0x00000014

5.AES密钥原始长度0x0000002C

6.1,2部份密文长度0x00000200

7.0×0000001标记

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

终究删除体系卷影信息,防备受害者经由过程体系卷影副本恢复数据。

将文件加密,并增加扩大后缀.ReadTheInstructions。

小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币

病毒在加密文件夹及用户桌面留下名为INSTRUCTIONS.html的讹诈申明文档,请求联络指定邮箱举行文件解密。

三、平安发起

针对该讹诈病毒的流传,发起用户重点防备病毒经由过程电子邮件进击,防备翻开生疏邮件,更不要下载可疑邮件的附件,除非文档泉源牢靠,否则应制止启用Office文档的宏代码。

为防备讹诈病毒在企业内网横向散布,企业用户须要强化以下平安治理步伐:

1、只管封闭不必要的端口,如:445、135,139等,对3389,5900等端口可举行白名单设置,只允许白名单内的IP衔接上岸。

2、只管封闭不必要的文件同享,若有须要,请运用ACL和强暗码保护来限定接见权限,禁用对同享文件夹的匿名接见。

3、运用高强度的庞杂暗码,防备运用弱口令暗码,并按期替换,企业效劳器更要防备运用弱暗码,以避免被进击者长途暴力破解。

4、对没有互联需求的效劳器/工作站内部接见设置响应权限掌握,防备可连外网效劳器被进击后作为跳板进一步进击其他效劳器。

5、对重要文件和数据(数据库等数据)举行按期非当地备份。

原文地点: https://www.4hou.com/typ/21460.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心Medusalocker讹诈变种进击企业,中毒被讹诈1比特币
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址