Medusalocker勒索病毒,小心勒索加密無得解
背景概述
近日,深信服安全團隊接到使用者的勒索求助,排查發現是一款名為MedusaLocker的勒索軟體家族。該勒索病毒家族具有一些獨特的功能,它不僅會感染本地計算機,而且還會通過網路進行擴散,對其他主機進行加密。
為了最大程度地在受感染機器上成功加密檔案,並且保證使用者能夠支付贖金,MedusaLocker勒索病毒不會對可執行檔案進行加密。其使用AES和RSA-2048的組合,使得加密的檔案解密變成不太可能。
在本文中,我們將介紹MedusaLocker勒索病毒的工作原理。
情報分析
樣本名稱 | skynet.exe |
樣本型別 | exe |
惡意型別 | 勒索病毒 |
Sha256 | fbf6c8f0857d888385f6bc0d46523ebcc1634e06d0e96411fc43a8ae4213d1f3 |
勒索資訊:
技術分析
ida動態獲取sig伺服器命名,直接定位到winmain,建立了一個硬編碼的{8761ABBD-7F85-42EE-B272-A76179687C63}互斥訊號量,操作之前檢查mutex是否存在;
通過這個函式判斷是Admin還是user賬戶執行;
使用GetTokenInformation確定許可權;
UAC繞過,使用CMSTP是一個與Microsoft連線管理器配置檔案安裝程式關聯的二進位制檔案。它接受INF檔案,這些檔案可以通過惡意命令武器化,以指令碼(SCT)和DLL的形式執行任意程式碼;
建立了新的登錄檔值:
HKEY_CURRENT_USER\SOFTWARE\MDSLK\Self
建立計劃性任務計劃指向%AppData%\Roaming\svhost.exe
建立時間間隔PT x M,使用Microsoft程式碼建立任務,從而過檢測;
檢測服務名稱是否與預先定義的列表匹配,如果匹配就終止服務;
列表:
wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,sqlwriter,msmdsrv,tomcat6,zhudongfangyu,SQLADHLP,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8
wxServer.exe,wxServerView,sqlservr.exe,sqlmangr.exe,RAgui.exe,supervise.exe,Culture.exe,RTVscan.exe,Defwatch.exe,sqlbrowser.exe,winword.exe,QBW32.exe,QBDBMgr.exe,qbupdate.exe,QBCFMonitorService.exe,axlbridge.exe,QBIDPService.exe,httpd.exe,fdlauncher.exe,MsDtSrvr.exe,tomcat6.exe,java.exe,360se.exe,360doctor.exe,wdswfsafe.exe,fdlauncher.exe,fdhost.exe,GDscan.exe,ZhuDongFangYu.exe
如果字尾名是:.csv,.sql,.mdf,.NDF,.SQLITEDB,.DDL,.SQLITE,.SQLITE3,.LDF,.EDB,.FDB,.FBK,.DBF,即檔案內容全部加密。
若檔案為勒索資訊提示檔案HOW_TO_RECOVER_DATA.html,或是副檔名型別屬於可執行檔案和配置檔案,同樣不進行加密
可執行檔案和配置檔案列表:
.exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted,.READINSTRUCTIONS,.recoverme,.Readinstructions,.hivteam,.hiv,.386,.adv,.ani,.bat,.bin,.cab,.cmd,.com,.cpl,.cur,.deskthemepack,.diagcab,.diagcfg,.diagpkg,.dll,.drv,.exe,.hlp,.icl,.icns,.ico,.ics,.idx,.ldf,.lnk,.log,.mod,.mpa,.msc,.msp,.msstyles,.msu,.nls,.nomedia,.ocx,.prf,.ps1,.rom,.rtp,.scr,.shs,.spl,.sys,.theme,.themepack,.wpx,.lock,.key,.hta,.msi,.enc,.deadfiles,.lockernetwork,.monster,.NETFULL,.shanghai,.support,.DE,.netlock,.BR,.LOCK,.shanghai2,.monster,.MY,.GR,.ID,.MA,.HU,.IN,.BG,.titan,.cryptocrypto,.dodik,.shanghai3,.TW,.shanghai4,.AU,.lockes,.DEDE,.RS,.local,.shanghai5,.shanghai6,.shanghai7,.locklock,.AULOCK,.FRFR,.lockers,.PedroChicken,.DogUlitos,.datalock,.stopfiles,.viets,.ILLOCK,.GBLOCK,.lokes,.KRLOCK,.AU,.KRLOCK2,.KRLOCK3,.KRLOCK4,.shanghai8,.sglock,.shanghai9,.shan,.EG,.grgr,.locks,.CN,.CN2,.locklock,.cnlock,.netlock,.netlock2,.vikings,.usus,.lockfilesus,.creepers,.shanghaiX,.kwlock,.mzlock,.lklock,.zoomzoom,.lockfiles,.shanghai11pro,.locklock,.wtf,.diablo,.nett,.lock,.de,.IL,.cn,.batman,.valhalla,.mx,.barracuda,.scheisse,.EG,.IT,.kw,.fr,.babadook,.tw,.us,.Readinstructions,.diablo,.KR,.kimchin,.help,.lt,.us,.skynet,.au,.ZA,.AR,.dolock,.uslock,.ReadInstructions,.zalock,.detrov,.skynet
禁止系統恢復,使用vssadmin,WMI刪除所有卷,使用bcdedit命令防止啟動時候進入恢復模式;
清除回收站;
傳入的a1 = 1,普通使用者和管理員許可權下都可以使用網路共享;
帶有$的檔案和資料夾不加密,不加密的檔案以及資料夾列表。
不加密的檔案以及資料夾列表:
ALLUSERSPROFILE
PUBLIC
TMP
USERPROFILE
\\AppData
ProgramData
PROGRAMFILES(x86)
SYSTEMDRIVE
\\Program Files
\\Application Data
\\intel
\\nvidia
\\Users\\All Users
\\Windows
\\Program Files\\Microsoft\\Exchange Server
\\Program Files (x86)\\Microsoft\\Exchange Server
\\Program Files\\Microsoft SQL Server
\\Program Files (x86)\\Microsoft SQL Server
通過重啟來判定檔案開啟與加密與否 從而讓更多的檔案進行加密;
檔案進行加密:
加密公鑰:
BgIAAACkAABSU0ExAAgAAAEAAQBtv9E5cdLPoTK8PwG0VTbxxURbhYM00jmY1b22v+Nwoe6+Vi6zHYcP5JmmueP4FBZBwANscT6dGxHpP4f4l9L9b/VLT6npX7+821EksPXaUJ8piYp8TCQPKRLJt6v7foVnI7jRW//K0wX9YmF7JWbBQROHPQTX7g3CQqZM7xGT4PfMa8g7+UBbstiEThpJo8PE1pgHfZrUFyiMwAv1hoXvaWVeAHKGOvoV+pKZ6Qi2fBCyJFmfL3hChhDWzIjp5oWd3l/RuSgET1sNAV8lkQPpf80OwlxFls5C8OnoG2d7eZJXDhcelK6K67Pp1Y6nC/B5mGpMhERMGnzSg9JkcrOn
缺少私鑰所以無法解密.
與本地網路建立連結,查詢共享;
查詢SMB共享,除了帶有$的共享其他都新增到列表中;
每個搜尋的目錄下建立勒索資訊檔案HOW_TO_RECOVER_DATA.html 告訴受害者如何購買比特幣。
加固建議
1. 儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
2. 儘量避免開啟不明郵件;
3. 定期檢測系統漏洞並且及時進行補丁修復。
深信服安全產品解決方案
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4. 深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
相關文章
- MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦
- faust勒索病毒攻擊加密Windows系統的方式,勒索病毒解密資料恢復加密Windows解密資料恢復
- 勒索病毒再進化:新型Awesome勒索不僅加密還留後門!加密
- 美網路安全公司:小心!又一個勒索病毒來襲!
- 瞄準各行企業及政府組織,LockBit勒索入侵加密無得解加密
- 【勒索病毒】小心這封郵件!點開你就可能掉進勒索的漩渦!
- Oracle_勒索病毒解決方案Oracle
- 伺服器中了勒索病毒,升級後的Malox勒索病毒特徵,勒索病毒解密資料恢復伺服器特徵解密資料恢復
- Windows系統檔案被faust勒索病毒加密勒索病毒解密恢復,電腦中病毒了怎麼修復?Windows加密解密
- 伺服器中了elbie勒索病毒解決辦法,elbie勒索病毒解密資料恢復伺服器解密資料恢復
- 企業計算機伺服器中了勒索病毒怎麼解決,勒索病毒解密流程計算機伺服器解密
- 中了.Devos勒索病毒。所有檔案被加密了,如何解密解決?dev加密解密
- 計算機伺服器中了locked勒索病毒怎麼解鎖,locked勒索病毒解密步驟計算機伺服器解密
- 加密勒索病毒:誕生、忽視以及爆炸式增長加密
- 電腦感染病毒變成eking勒索病毒檔案或Devos勒索病毒檔案、montana勒索病毒檔案該如何處理?dev
- 勒索病毒很可怕?!一招解決
- 蘋果手機會中勒索病毒嗎 安卓手機會中勒索病毒嗎?蘋果安卓
- 計算機資料庫中了locked勒索病毒怎麼解決,勒索病毒解密,資料恢復計算機資料庫解密資料恢復
- 企業計算機中了locked勒索病毒怎麼解鎖,locked勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機伺服器中了mallox勒索病毒怎麼解決,勒索病毒解密,資料恢復計算機伺服器解密資料恢復
- 計算機中了mallox勒索病毒怎麼辦,勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機伺服器中了halo勒索病毒怎麼辦,halo勒索病毒解密計算機伺服器解密
- 計算機伺服器中了勒索病毒怎麼解決,勒索病毒解密步驟資料恢復計算機伺服器解密資料恢復
- 7月勒索病毒報告:Globelmposter勒索病毒活動增強|美創安全實驗室
- win10怎樣防止勒索病毒 win10防範勒索病毒的步驟Win10
- win10怎麼防禦勒索病毒_win10預防勒索病毒的方法Win10
- 計算機中了faust勒索病毒怎麼辦,faust勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機中了locked勒索病毒怎麼辦,locked勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機中了halo勒索病毒怎麼清除,halo勒索病毒解密資料恢復計算機解密資料恢復
- 計算機伺服器中了mkp勒索病毒如何解密,mkp勒索病毒解密流程計算機伺服器解密
- 計算機伺服器中了mallox勒索病毒解密方案計劃,勒索病毒解密措施計算機伺服器解密
- 計算機伺服器中了locked勒索病毒怎麼辦,locked勒索病毒解密流程計算機伺服器解密
- 計算機伺服器中了DevicData勒索病毒如何解密,DevicData勒索病毒解密流程計算機伺服器dev解密
- 企業計算機伺服器中了mallox勒索病毒怎麼解決,勒索病毒解密檔案恢復計算機伺服器解密
- 企業伺服器資料庫中了mkp勒索病毒怎麼解決,勒索病毒解密資料恢復伺服器資料庫解密資料恢復
- SQLServer資料庫中了勒索病毒加密,副檔名改為LockbitSQLServer資料庫加密
- Oracle RushQL勒索病毒恢復方法Oracle
- 計算機伺服器中了mkp勒索病毒怎麼辦,mkp勒索病毒解密恢復計算機伺服器解密