SamSam勒索病毒最新变种来袭

一、事故背景

近期笃信服EDR安然团队接到客户应急需求,称办事器被打单病毒加密,颠末深入阐发,提取到相关的样本信息,发明此样本为SamSam打单病毒最新的变种样本,加密的流程与之前发明的SamSam的变种基础同等。

SamSam打单病毒最早于2016年4月阁下被首次发明,主要经由过程办事器网站破绽、垃圾邮件,RDP爆破等要领感染办事器,此打单病毒主要用于进击企业办事器,主要生动在北美地区,之前曾对北美多个国家病院办事器进行进击,破坏病院的正常营业,近来此打单病毒变种在北美等地区异常生动,已有多家企业中招,这次发明的最新变种加密后的文件后缀为:weapologize,它会经由过程PSEXEC.EXE对象感染其它主机,打单病毒采纳RSA2048加密算法加密响应的文件,加密后的文件无法还原。

二、样本分析

1.此打单病毒涉及到的相关文件,如下:

2.此打单病毒履行流程(与之前发明的变种加密流程基于同等),如下:

3.启动此打单病毒的BAT脚本g04inst.bat,如下:

经由过程通报一个解密key参数,启动此BAT脚本,履行加密操作,着末删除相关文件。

4.此打单病毒加密应用的RSA公钥KEY文件NTAARFOIP02_publicKey.keyxml,如下:

5.此打单病毒母体winupdateini.exe会读取BAT脚本通报进来的四个参数,然后履行响应的操作,假如参数纰谬,则退出法度榜样,如下:

6.查找响应的加密payload文件*.sophos,假如发明则读取payload文件内容,然后删除响应的payload文件,如下:

7.对读取的加密payload文件进行解密,经由过程BAT传入到解密参数,如下:

会调用dellerrrtonimon.dll的解密函数,如下:

8.解密函数的历程,如下:

经由过程AES解密算法进行解密,解密的Key和IV是经由过程参数进行通报,然后从如下数组中拔取的,如下:

响应的数组列表如下:

9.加载解密出来的加密payload,履行加密操作,如下:

加密payload的实例工具,如下:

调用加密的payload,履行响应的加密操作,如下:

经由过程Invoke履行加密操作,如下:

10.母体样本和解密函数DLL里面都包孕大年夜量的垃圾代码,如下:

进击者经由过程传入解密参数key,启动履行BAT脚本,并传入响应的四个参数,调用母体EXE解密出响应的加密payload,然后对主机中的响应文件进行加密,并在桌面天生多个包孕打单信息的HTML超文件文件。

三、办理规划

笃信服EDR产品能有效检测及防御此类打单病毒家族样本及其变种,同时笃信服EDR安然团队提醒广大年夜用户:

[1] [2]下一页

1.不要点击滥觞不明的邮件附件,不从不明网站下载软件;

2.及时给主机打补丁,修复响应的高危破绽;

3.对紧张的数据文件按期进行非本地备份;

4.只管即便关闭不需要的文件共享权限以及关闭不需要的端口,如:445,135,139,3389等;

5.RDP远程办事器等连接只管即便应用强密码,不要应用弱密码;

6.此打单病毒会经由过程PSEXEC.EXE对象感染其它主机,建议卸载禁用此对象;

7.安装专业的终端安然防护软件,为主机供给端点防护和病毒检测清理功能;

四、相关IOC

758274028C49227A779E3A7812F526D5g04inst.bat

69FCB82C35C67CAB0F9C877B489C8D69dellerrrtonimon.dll

20487336761EDD9537318C7A139E32ADwinupdateini.exe

F547DE1E1346042E138CF2D465EBB07CNTAARFOIP02_publicKey.keyxml

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包