返回頂部
隱藏或顯示

新聞動態

News

纽卡斯尔西塞 www.qjozfa.com.cn

新型勒索病毒Attention感染醫療與半導體行業

/ 2019-05-28

近日,深信服安全團隊檢測到一種全新的勒索病毒正在活躍,攻擊者針對制造行業、醫療行業等目標,通過社會工程、RDP遠程爆破等方式手動投放勒索病毒,且進行加密后會人工刪除勒索病毒體和入侵日志。

該勒索病毒加密后會修改文件后綴為大寫的隨機[10-12]個英文字母,并釋放勒索信息文件,運行后會進行自復制,但通常情況下復制體會被攻擊者手動刪除。深信服安全團隊將該勒索病毒命名為Attention勒索病毒。

截止目前,已有多個省份出現感染案例,該勒索病毒暫時無法解密,嚴重危害業務安全,建議提高警惕,及時防范。

病毒名稱:Attention勒索病毒

病毒性質:勒索病毒

影響范圍:目前多省份出現感染案例,包括醫療、半導體行業用戶

危害等級:高危

傳播方式:社會工程、RDP遠程爆破等方式

勒索特征

1.勒索信息文件YOUR FILES ARE ENCRYPTED.TXT,如下所示:

2.加密后的文件后綴為大寫字母的隨機[10-12]個英文字母,前三個字母相同,如下所示:

樣本詳細分析

1.首先,在%temp%目錄下生成隨機的文件B3A9A362.ghost,將00寫入到文件中,如下所示:

2.然后拷貝自身到

C:\Users\panda\AppData\Roaming\Microsoft\Windows目錄下ctfmon.exe(偽裝成為系統文件ctfmon.exe),如下:

3.通過ShellExecute調用拷貝的ctfmon.exe程序,運行勒索程序:

4.自刪除原文件,調用的參數形如:

"/c for /l %x in (1,1,666) do ( ping -n 3 127.1 & del "C:\Users\panda\Desktop\Ransomware1.exe" & if not exist "C:\Users\panda\Desktop\Ransomware1.exe" exit )"

5.生成勒索密鑰相關信息,然后將密鑰信息保存到注冊表

HKEY_CURRENT_USER\Software\Ghost\Service中,如下所示:

6.遍歷網絡共享目錄,遍歷磁盤及文件目錄:

7.加密文件,先讀取文件內容,然后進行加密操作:

加密后的文件后綴名為隨機的[10-12]個英文字母。

解決方案

針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

病毒檢測查殺:

1.深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

2.深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御:

深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

1.及時給電腦打補丁,修復漏洞。

2.對重要的數據文件定期進行非本地備份。

3.不要點擊來源不明的郵件附件,不從不明網站下載軟件。

4.盡量關閉不必要的文件共享權限。

5.更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

6.如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服下一代防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

7.深信服下一代防火墻、終端檢測響應平臺(EDR)均有防爆破功能,下一代防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

8.深信服下一代防火墻用戶,建議升級到AF805版本,并開啟SAVE安全智能檢測引擎,以達到最好的防御效果。

9.使用深信服安全產品,接入安全云腦,使用云查服務可以即時檢測防御新威脅。

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+下一代防火墻+EDR,對內網進行感知、查殺和防護。

咨詢與服務

您可以通過以下方式聯系我們,獲取關于

Attention的免費咨詢及支持服務:

1)撥打電話400-630-6430轉6號線(已開通專線)

2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服區 bbs.www.qjozfa.com.cn,選擇右側智能客服,進行咨詢


©2000-2019    深信服科技股份有限公司    版權所有    纽卡斯尔西塞

粵公網安備

粵公網安備44030502002384號