pc蛋蛋

返回顶部
隐藏或显示

新闻动态

News

GandCrab再爆新变种,警惕DeepBlue变种感染

/ 2019-05-09

近日,深信服安全团队跟踪到多起GandCrab勒索病毒最新变种感染事件。由于感染主机桌面屏幕会被设置成为深蓝色,深信服将该变种命名为GandCrab勒索DeepBlue变种。

该勒索变种使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景。目前该勒索暂时无法解密,深信服提醒广大用户防范该勒索变种入侵感染。

病毒名称GandCrab勒索DeepBlue变种

病毒性质:勒索病毒

影响范围已有多省份用户受感染,包括但不限于政府、医药、教育等行业

危害等级高危

传播方式pc蛋蛋漏洞利用、RDP暴力破解等方式传播


病毒描述


GandCrab勒索DeepBlue变种在功能代码结构上与GandCrab非常相似,同时应用了多种反调试和混淆方式,且似乎还处于不断调试的阶段,变种使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景(标题题目会变化),具体勒索特征如下:


勒索界面

并释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-HOW-TO-DECRYPT.txt”。


勒索信息文件

入侵分析


pc蛋蛋 GandCrab勒索DeepBlue变种入侵方式呈现多样化,截至目前收集到以下入侵手段(不排除将来有更多入侵手段):

  • 利用Confluence漏洞(CVE-2019-3396)

  • RDP暴力破解

  • FCKeditor编辑器漏洞

  • WebLogic wls9-async反序列化远程命令执行漏洞

值得一提的是,该攻击者(团伙)近期活跃频繁,且惯用手法是利用多种可能存在漏洞传播勒索病毒来入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。

病毒详细分析


1.pc蛋蛋样本母体使用多种加密操作。解密出第一层Payload代码,再解密出勒索核心Payload代码,如下所示:


2.提升进程权限。

3.内存中解密出勒索信息文本,生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt]:


4。遍历进程,结束mysql.exe进程。

5.通过cmd.exe执行相应的命令,删除磁盘卷影,如下所示:


6.遍历磁盘文件目录、共享文件目录以及磁盘文件,然后使用RSA+AES算法进行文件加密,如下所示:


7。生成勒索信息桌面图片,更改桌面背景图片。

8.从内存中解密出来的域名列表中,选取一个域名进行URL拼接,然后向URL发送相应的数据。


解决方案


针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:http://edr。sangfor。com。cn/tool/SfabAntiBot_X64。7z

32位系统下载链接:http://edr.132sn.com/tool/SfabAntiBot_X86.7z


2、深信服EDR产品下一代防火墙安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:



病毒防御

1、及时给电脑打补丁,修补漏洞,修改弱密码。

2、对重要的数据文件定期进行非本地备份。

3、有Confluence应用的用户,需升级Confluence版本,并主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。其中版本升级为:

版本6。6。12及更高版本的6。6。x

版本6.12.3及更高版本的6.12.x

版本6.13.3及更高版本的6.13.x

版本6。14。2及更高版本

4、有WebLogic应用的用户,请参考  修复相关漏洞。


5、深信服下一代防火墙用户,建议升级到AF805版本,并开启深信服SAVE安全智能检测引擎,以达到最好的防御效果。

6、深信服EDR用户,建议升级到3.2.8以上版本,病毒库升级到20190507版本,以达到最好的防御效果。

7、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+下一代防火墙+EDR,对内网进行感知、查杀和防护。



©2000-2019    深信服科技股份有限公司    版权所有   

粤公网安备

粤公网安备44030502002384号