• 机构投资者应合理审慎报价 2019-07-16
  • “2018上影之夜”姜文等为“谢晋经典电影回顾展”揭幕 2019-07-10
  • 交大钱学森学院举行毕业典礼 14毕业生赴世界排名前百大学读研 2019-07-10
  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 频道栏目
    神奇公式秒杀全国11选5 > 安全 > 网络安全 > 正文

    山西11选五遗漏数据:SamSam勒索病毒最新变种来袭

    2018-10-19 10:11:08         来源:[db:作者]  
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com 一、事件背景
    近期深信服EDR安全团队接到客户应急需求,称服务器被勒索病毒加密,经过深入分析,提取到相关的样本信息,发现此样本为SamSam勒索病毒最新的变种样本,加密的流程与之前发现的SamSam的变种基本一致。
    SamSam勒索病毒最早于2016年4月左右被首次发现,主要通过服务器网站神奇公式秒杀全国11选5、垃圾邮件,RDP爆破等方式感染服务器,此勒索病毒主要用于攻击企业服务器,主要活跃在北美地区,之前曾对北美多个国家医院服务器进行攻击,破坏医院的正常业务,最近此勒索病毒变种在北美等地区非?;钤?,已有多家企业中招,此次发现的最新变种加密后的文件后缀为:weapologize,它会通过PSEXEC.EXE工具感染其它主机,勒索病毒采用RSA2048加密算法加密相应的文件,加密后的文件无法还原。
    二、样本分析
    1.此勒索病毒涉及到的相关文件,如下:

    2.此勒索病毒执行流程(与之前发现的变种加密流程基于一致),如下:

    3.启动此勒索病毒的BAT脚本g04inst.bat,如下:

    通过传递一个解密key参数,启动此BAT脚本,执行加密操作,最后删除相关文件。
    4.此勒索病毒加密使用的RSA公钥KEY文件NTAARFOIP02_publicKey.keyxml,如下:

    5.此勒索病毒母体winupdateini.exe会读取BAT脚本传递进来的四个参数,然后执行相应的操作,如果参数不对,则退出程序,如下:

    6.查找相应的加密payload文件*.sophos,如果发现则读取payload文件内容,然后删除相应的payload文件,如下:

    7.对读取的加密payload文件进行解密,通过BAT传入到解密参数,如下:

    会调用dellerrrtonimon.dll的解密函数,如下:

    8.解密函数的过程,如下:

    通过AES解密算法进行解密,解密的Key和IV是通过参数进行传递,然后从如下数组中选取的,如下:

    相应的数组列表如下:

    9.加载解密出来的加密payload,执行加密操作,如下:

    加密payload的实例对象,如下:

    调用加密的payload,执行相应的加密操作,如下:

    通过Invoke执行加密操作,如下:

    10.母体样本和解密函数DLL里面都包含大量的垃圾代码,如下:

    攻击者通过传入解密参数key,启动执行BAT脚本,并传入相应的四个参数,调用母体EXE解密出相应的加密payload,然后对主机中的相应文件进行加密,并在桌面生成多个包含勒索信息的HTML超文件文件。
    三、解决方案
    深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,同时深信服EDR安全团队提醒广大用户:

    1.不要点击来源不明的邮件附件,不从不明网站下载软件;
    2.及时给主机打补丁,修复相应的高危漏洞;
    3.对重要的数据文件定期进行非本地备份;
    4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
    5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码;
    6.此勒索病毒会通过PSEXEC.EXE工具感染其它主机,建议卸载禁用此工具;
    7.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能;
    四、相关IOC
    758274028C49227A779E3A7812F526D5  g04inst.bat
    69FCB82C35C67CAB0F9C877B489C8D69  dellerrrtonimon.dll
    20487336761EDD9537318C7A139E32AD  winupdateini.exe
    F547DE1E1346042E138CF2D465EBB07C  NTAARFOIP02_publicKey.keyxml
    上一篇:秒杀宏病毒,解剖Emotet技术难点
    下一篇:新Njrat木马(Bladabindi)的新功能源码分析
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 机构投资者应合理审慎报价 2019-07-16
  • “2018上影之夜”姜文等为“谢晋经典电影回顾展”揭幕 2019-07-10
  • 交大钱学森学院举行毕业典礼 14毕业生赴世界排名前百大学读研 2019-07-10
  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • PC蛋蛋20计划专家 p3试机号–今天排列三试机号查询 下载中国象棋并安装 算彩票的中奖号码天才 今晚四不像一肖中特图 福建36选7第18109期开奖 澳门三分彩是官方彩票么 nba比分视频 彩票走势图源代码 体彩e球彩开奖结果今天晚上 江西快三开奖结果一定牛 秒速时时彩平台 福彩体彩走势图大全 2003年大乐透走势图 一肖中特免费公开料平