压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

【預警】勒索病毒Ouroboros開學來襲,持續更新惹人關注

責編:gltian |2019-09-03 13:39:51

近日,亞信安全截獲全新勒索病毒Ouroboros,此勒索病毒在加密文件完成后會添加.[ID=十位隨機字符][Mail=unlockme123@protonmail.com].Lazarus的后綴,亞信安全將其命名為Ransom.Win32.OUROBOROS.SM。隨著深入的分析,安全專家發現了黑客使用的FTP服務器,服務器上還存有Ouroboros勒索病毒變種文件,安全專家推測該勒索病毒目前正處在持續更新中,亞信安全將會持續關注該勒索病毒的動態。

勒索病毒Ouroboros詳細分析

安全專家分析發現,該勒索病毒源文件并未加殼:

image002

使用IDA打開此文件,加載符號文件時發現病毒作者編譯程序留下的符號文件位置,以此確定此勒索病毒為Ouroboros:

image003

初步分析,該勒索病毒中有大量的反調試函數,或者通過函數中包含return函數的形式增加病毒分析難度:

image004

進入到程序關鍵函數,該勒索病毒會調用PowerShell程序,通過vssadmin delete shadows /all /y命令刪除卷影副本:

image005

然后加載病毒中需要的信息,如郵箱信息,生成ID:

image006

在地址40A000的位置,安全專家發現勒索病毒會進行進程遍歷,關閉與數據庫相關的進程:

image007

image008

該病毒使用了SFML(Simple and Fast Multimedia Library)網站的一個資源:http[:]//www[.]sfml-dev[.]org/ip-provider.php
訪問此網址后,可以獲取到訪問者的公網IP地址(圖中紅框位置為get請求包內容):

image009

然而在此勒索病毒中,此網站成了用來獲取受害者IP的工具(為了正常分析,我在本地搭建了一個web,通過hosts將sfml-dev[.]org指向本地,圖中地址為本地web環境偽造的響應地址):

image010

該病毒會嘗試建立與主機176.31.68.30的連接,等到程序收集了IP、ID、磁盤使用情況和key的信息后,一并發送給主機176.31.68.30,并且等待返回包。

image011

該病毒不會在主線程中直接進行加密操作,而是將加密邏輯的函數地址作為參數傳遞給新創建的線程,新線程中獲取到對應參數,再進行跳轉執行。加密邏輯會遍歷磁盤上的文件夾,檢查是否是Windows目錄以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合條件,避免對這些文件或者目錄下的文件進行加密操作

image012

否則其會讀取文件內容,開始在內存中對文件內容進行加密:

image013

文件內容加密完成后,其會創建以下后綴的文件:[ID=十位隨機字符串][Mail=unlockme123@protonmail.com].Lazarus

image014

然后,其將加密內容寫入創建的帶后綴的文件中,隨后刪除未被加密的源文件:

image015

完成勒索后,釋放勒索信息的文件Read-Me-Now.txt,文件內容如下:

image016

普通勒索病毒到這里可能就已經完成了所有邏輯,但是安全專家做了靜態分析后發現,此病毒還會觸發ftp連接的操作,從176.31.68.30的ftp上下載名為uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,啟動新的進程來執行此文件:

image017

image018

image019

安全專家對下載的Uiapp.exe文件進行了簡單的分析,發現此程序沒有明顯的惡意行為,僅僅只是為了更加醒目的顯示勒索信息:

image020

image021

雙擊執行后,桌面會彈出如下的勒索信息界面:

image022

安全專家還在176.31.68.30的ftp中發現了另一個exe文件:crypt.exe(該文件被檢測為Ransom.Win32.OUROBOROS.AA),依據文件名安全專家懷疑該文件是此次勒索病毒最初的來源,所以將crypt.exe文件和安全專家截獲的勒索病毒做了hash對比,發現并不一致:

image023

但是經過進一步的分析發現,兩者代碼塊中的內容幾乎一致,僅僅只是編譯時間上的不同,crypt.exe的文件編譯時間較新,據此安全專家懷疑Ouroboros勒索病毒正在持續更新中,未來亞信安全會密切關注。

image024

亞信安全教你如何防范

  • 不要點擊來源不明的郵件以及附件;
  • 不要點擊來源不明的郵件中包含的鏈接;
  • 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
  • 打開系統自動更新,并檢測更新進行安裝;
  • 盡量關閉不必要的文件共享;
  • 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

亞信安全產品解決方案

亞信安全病毒碼版本15.329.60,云病毒碼版本15.329.71,全球碼版本15.329.00已經可以檢測,請用戶及時升級病毒碼版本。

IOCs

MD5:

87283fcc4ac3fce09faccb75e945364c

e3caef2e2bdc4b08d625d4845f3205b6

##

image025

關于亞信安全

亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有2個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com

更多媒體垂詢,敬請聯絡:

亞信安全 謀信傳媒
劉婷婷 雷遠方
電話:010- 58256889

電子郵件: liutt5@aisainfo-sec.com

 電話:010-67588241

電子郵件:leiyuanfang@ctocio.com

上一篇:訪問控制是什么?數據安全的關鍵組成

下一篇:組織應該在網絡安全方面投入多少錢?