來勢洶洶，不到一月餘已有多家海外企業遭受新型勒索Hive毒手

事件背景

近日，深信服終端安全團隊捕獲到了HIVE勒索病毒的樣本，和其他勒索病毒一樣，該勒索病毒會將終端上的檔案加密病毒留下勒索信，且HIVE勒索團伙會在加密檔案前進行資料竊取，受害者除卻業務當機之外，也存在資料洩露的風險。

根據海外媒體報導，7月初加拿大商業地產軟體解決方案公司 Altus Group正是遭受Hive勒索攻擊導致資料洩露。且安全研究人員發現，不到一個月，該勒索團伙已公佈了多家企業的資料資訊。

/圖源於網路：Hive網站上的資料條目/

樣本分析

勒索方式

Hive勒索病毒採用AES+RSA加密演算法，在執行後，受害者終端上大部分檔案會被加密成*.hive的檔案。

並且會在每一個目錄下留下一個HOW TO DECRYPT的文字文件，受害者可根據文件中的賬號密碼登陸駭客提供的網站後用贖金換取解密金鑰。

Go語言編譯

透過對樣本的分析，發現該勒索病毒是一個用Go語言編寫開發的可執行檔案，並且使用了UPX進行壓縮，安全研究人員透過對檔案解壓以後進行了分析：

其main函式中透過呼叫go的flag包來設定一些預設的執行引數：

 

其中使用go的正規表示式regexp，來關閉sql、oracle、redis等資料庫服務，遍歷當前程式列表，關閉mspub以及msdesktop相關程式，同時會跳過一些無需加密的檔案，如字尾為.lnk的快捷方式檔案。

另外掃描磁碟以及加密檔案的操作也都是利用go的協程來執行的，在函式返回前利用Wait函式同步協程執行完畢。

掃描計算機的儲存裝置：

可以看出病毒不僅會嘗試讀取計算機硬碟中的檔案，移動儲存裝置中的檔案也會被嘗試讀取並加密。並且在這個函式中會再次建立一個協程用來生成要加密的檔案絕對路徑：

加密過程：

病毒首先生成加密秘鑰：

生成程式快照，遍歷當前程式列表並結束相關的程式：

停止資料庫相關服務，利用協程來完成：

為協程註冊的匿名函式，停止服務：

加密過程中為協程註冊匿名函式，生成*.hive的檔名：

對檔案進行重新命名以後呼叫加密函式對檔案資料進行加密：

加密後重新寫回檔案：

找到自身路徑並生成刪除自身的bat命令，然後開始執行刪除自身操作：

同時利用vssadmin命令來刪除所有已安裝卷影副本來防止磁碟中的資料被恢復：

透過分析，可以發現此病毒會生成用以勒索的文字和被害者登入網站的使用者名稱和密碼。在完成對被害者的檔案加密之後，寫入文字文件。

深信服產品解決方案

1.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2.深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

日常的加固和防禦建議

深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

1、及時給電腦打補丁，修復漏洞。

2、對重要的資料檔案定期進行非本地備份，儘量關閉不必要的檔案共享許可權。

3、不要點選來源不明的郵件附件，不從不明網站下載軟體。

4、更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

5、如果業務上無需使用RDP的，建議關閉RDP。