近日,深信服安全團隊在國內跟蹤發現了一新型的病毒變種,確認為matrix勒索病毒prcp變種,目前已有政企單位感染案例,該勒索變種採用rsa+aes高強度加密演算法,將系統中的大部分文件檔案加密為prcp字尾名的檔案,然後對使用者進行勒索。目前無法解密,提醒廣大使用者警惕,防止中招。
該勒索病毒變種主要通過rdp爆破進行傳播,會掃瞄區域網內主機,會加密區域網共享目錄資料夾下的檔案,並彈出勒索介面如下:此次勒索事件,深信服安全專家捕獲到了完整病毒樣本,並制定了相應的防護措施。
matrix勒索病毒prcp變種整體比較複雜,樣本功能可以簡化如下:
該病毒變種使用delphi語言進行編寫,相關資料加密會儲存到程式資源目錄中。為了保證執行唯一,病毒執行後,會先嘗試開啟互斥變數mutexprcp,如果開啟失敗,則建立互斥變數。
該病毒變種會獲取當前作業系統的語言版本、主機名和使用者名稱等資訊,在記憶體中拼接相應的字串:
在記憶體中解密出遠端伺服器位址,如下所示:
傳送相應的主機資訊,到遠端伺服器位址prcp.mygoodsday.org ,進行記錄,如下所示:
掃瞄磁碟資訊,並列印到輸出視窗,然後將磁碟資訊,再一次上傳到遠端伺服器。
matrix勒索病毒prcp變種會通過內建的rsa金鑰生成相應的key,如下所示:
接著,會生成bat檔案,刪除磁碟卷影等操作,使使用者無法通過系統備份恢復資料,如下所示:
生成上面bat指令碼呼叫的vbs指令碼,如下所示:
為了對內網最大程度造成破壞,該變種會生成隨機命名的備份檔案,然後通過引數啟動,對內網進行探測,如下所示:
內網共享目錄檔案掃瞄過程,如下所示:
生成的隨機的bat檔案,如下所示:
呼叫釋放的nthandler程式,對當前主機進行掃瞄,如下所示:
最後,該變種病毒會遍歷本地磁碟檔案,加密磁碟檔案,加密後的檔案字尾為.prcp。
磁碟檔案加密完成後,會在本地生成相應的勒索資訊檔案#readme_prcp#.rtf,相應的內容如下所示:
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。
深信服提醒廣大使用者盡快做好病毒檢測與防禦措施,防範此次勒索攻擊。
1、深信服為廣大使用者免費提供查殺工具,可**如下工具,進行檢測查殺。
2、深信服edr產品及防火牆等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測。
1、及時給電腦打補丁,修復漏洞。
2、對重要的資料檔案定期進行非本地備份。
4、盡量關閉不必要的檔案共享許可權。
5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一台被攻破,多台遭殃。
6、如果業務上無需使用 rdp 的,建議關閉 rdp 。
最後,建議企業對全網進行一次安全檢查和防毒掃瞄,加強防護工作。
新型病毒 加強勒索病毒預防
勒索病毒,是一種新型電腦病毒,主要以郵件 程式木馬 網頁掛馬的形式進行傳播。這種病毒利用各種加密演算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。最新案例 浙江省溫州市一家超市儲值卡管理系統遭 位元幣勒索病毒 攻擊,導致系統內所有資料庫被鎖定,系統無法使用。同時,受害系統內...
勒索軟體病毒分析
勒索軟體病毒分析報告 目錄 1.病毒樣本概況 2.樣本資訊 3.測試環境及工具 4.具體行為分析 5.小結 1.病毒樣本概況 2.樣本資訊 1.使用 hash 檢視樣本資訊 2.病毒主要行為 樣本執行後刪除了本身的檔案,拷貝了乙份隱藏檔案在c盤,將自身刪除,並將其隱藏為cmd啟動,不斷感染遍歷目錄感...
勒索病毒當道的時代
黑客也僅是乙個符號 昨天的 wannacry 勒索蠕蟲席捲了全球,即使像我們這樣遊走在邊界的人,也還是嚇了一跳。無數沒打 ms 17010 補丁的 win 電腦或伺服器中招,尤其是不少學校 相關單位有各種大內網的,這一波就可能直接導致這些機構工作癱瘓.全世界鋪天蓋地的,充斥著下面這個勒索病毒介面 不...