遭遇新型勒索病毒襲擊 用戶應該如何應對
責編:mhshi |2016-10-17 13:52:25根據安恒APT云端監控的數據,從今年年初以來勒索病毒攻擊呈現快速上升的趨勢,且變種類型非常快,對常規的殺毒軟件都具有免疫性。攻擊的樣本以js、wsf、vbe等類型為主,隱蔽性極強,對常規依靠特征檢測的安全產品是一個極大的挑戰。
經過分析,通常該類型病毒的規律如下:
●該類型病毒的目標性強,主要以郵件為傳播方式。
●勒索病毒文件一旦被用戶點擊打開,會利用連接至黑客的C&C服務器,進而上傳本機信息并下載加密公鑰。然后,將加密公鑰寫入到注冊表中,遍歷本地所 有磁盤中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;加密完成后,還會在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金。
●該類型病毒可以導致重要文件無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。
新型勒索病毒分析
近期,安恒APT云端監控到了一種新型勒索病毒,該類型病毒運行流程復雜,且針對關鍵數據以加密函數的方式進行隱藏。
以下為APT沙箱分析到樣本載體的關鍵行為:
●調用加密算法庫
●通過腳本文件進行Http請求
●通過腳本文件下載文件
●讀取遠程服務器文件
●通過wscript執行文件
●收集計算機信息
●遍歷文件
樣本運行流程詳解
根據APT沙箱報告捕獲到樣本的關鍵行為,包括進程行為、文件行為、網絡行為等信息,可以發現其運行分析流程如下:
該樣本主要特點是通過自身的解密函數解密回連服務器地址,通過HTTP GET 請求訪問加密數據,保存加密數據到TEMP目錄,然后通過解密函數解密出數據保存為DLL,然后再運行DLL (即勒索者主體)。該DLL樣本才是導致對數據加密的關鍵主體,且該主體通過調用系統文件生成秘鑰,進而實現對指定類型的文件進行加密,即無需聯網下載秘鑰即可實現對文件加密。
同時,在沙箱分析過程中發現了該樣本大量的反調試行為,用于對抗調試器的分析,增加了調試和分析的難度。
勒索病毒應對方案
根據勒索病毒的特點和感染流程,可以推斷其變種迅速,通常具備較強的對抗能力,且感染成功后無法恢復,常規的依靠特征匹配的防護手段不再適用,給勒索病毒的防護帶來了極大的挑戰,從而導致大量的用戶被勒索病毒感染造成損失。
根據勒索病毒的特點可以判斷,其變種通常可以隱藏特征,但卻無法隱藏其關鍵行為,經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面:
●通過腳本文件進行Http請求
●通過腳本文件下載文件
●讀取遠程服務器文件
●收集計算機信息
●遍歷文件
●調用加密算法庫
安恒APT產品通過內置沙箱虛擬執行環境,可以對網絡中傳輸的樣本模擬運行分析,捕獲其動態行為、網絡行為、進程行為、文件行為、注冊表行為等關鍵信息,識 別其中可疑的勒索病毒特點,快速對網絡中傳輸的勒索病毒樣本進行預警,及時通知被攻擊方提高安全防范意識,防止出現被感染的情況。
同時,結合安恒APT云端可為用戶提供更為深層的威脅分析服務、安全預警服務和情報共享服務,依托于云端的海量數據、高級的機器學習和大數據分析能力,可及時共享最新的安全威脅情報,提供更為精準的威脅分析能力,用戶也可直接訪問云端,上傳、查詢和確認樣本的分析結果,感知最新的安全情報。