0x0概述

近年來，老式勒索病毒依舊活躍，而新型勒索病毒花樣百出，深信服安全雲腦就捕獲到一款具有“地方特色”的勒索病毒，其加密字尾為.beijing。

該病毒會加密指定字尾檔案，在系統盤加密使用者目錄下的檔案，並生成勒索提示文件（!RECOVER.txt），要求使用者透過郵箱聯絡駭客，使用比特幣支付贖金來解密個人檔案。

0x1詳細分析

該樣本使用UPX加殼，編譯時間為2019年9月10日，使用C++編寫；

大量函式呼叫使用動態計算的地址，以阻止對檔案進行逆向分析；

使用LoadLibrary、GetProcAddress載入kernel32、advapi32等DLL及部分函式；

從自身讀取資料：

配置檔案使用了protobuf序列化；

包含大量加密檔案字尾：

生成使用者Personal ID及Hash值，Personal ID隨機生成並使用base 64加密；

在檔案目錄下建立勒索提示文件!RECOVER.txt及__lock_XXX__檔案；

勒索提示文件：

遍歷目錄下所有檔案；

開啟待加密檔案；

重新命名為*.beijing；

使用AES演算法加密；

檔案末尾寫入二次加密後的AES金鑰

完成加密後自刪除。

0x2 IOC

MD5：9ed1bc466b3a1f1844f50791c16a77c1

0x3深信服安全產品解決方案

深信服下一代防火牆AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品，已整合了SAVE人工智慧引擎，均能有效檢測防禦此惡意軟體，已經部署相關產品的使用者可以進行安全掃描，檢測清除此惡意軟體，如圖所示：

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺：

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3. 深信服安全產品繼承深信服SAVE安全智慧檢測引擎，擁有對未知病毒的強大泛化檢測能力，能夠提前精準防禦未知病毒；

4. 深信服推出安全運營服務，透過以“人機共智”的服務模式提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

0x4 加固建議

1. 使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

2. 避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

3. 定期使用安全軟體進行全盤掃描和處置，定期檢測系統漏洞並且進行補丁修復。

0x5 諮詢與服務

您可以透過以下方式聯絡我們，獲取關於該病毒的免費諮詢及支援服務：

1、撥打電話400-630-6430轉6號線（已開通勒索軟體專線）；
2、關注【深信服技術服務】微信公眾號，選擇“智慧服務”選單，進行諮詢；
3、PC端訪問深信服社群 bbs.sangfor.com.cn，選擇右側智慧客服，進行諮詢。