安全動態(tài)

勒索病毒新玩法——加密鎖屏改密碼,私密文件公開化

來源:聚銘網(wǎng)絡    發(fā)布時間:2019-11-10    瀏覽次數(shù):
 

信息來源:4hou

勒索病毒Megacortex新型變種相對以往所遇到的勒索病毒,在勒索手法上更為激進:不但加密用戶文件,還會進一步修改Windwos登錄密碼,并在加密完畢后進行鎖屏,更進一步還會威脅受害者,若不繳納贖金則將主機上的文件公開。

一、Megacortex家族

Megacortex勒索病毒是國外較活躍的勒索家族,最初于今年1月份在VirusTotal平臺上被安全研究員發(fā)現(xiàn),并不斷對國外多個行業(yè)進行加密勒索攻擊,包括有美國、加拿大、法國和荷蘭等。下圖是Megacortex勒索病毒演進的時間軸: 

二、Megacortex變種行為分析

@該變種攜帶澳大利亞“MURSA PTY LTD”公司的數(shù)字簽名,運行后會在C:\Windows\Temp路徑下釋放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。

· qibfmqkeM5-0.cmd,用于刪除釋放到C:\Windows\Temp路徑的文件。

 

· qibfmqkeM5-2.cmd,用于刪除磁盤卷影

 

· M5-990831122.dll,用于遍歷磁盤文件

· M5-685889264.dll,用于加密磁盤文件,加密后綴名為.m3g4c0rtx

@在加密完后進行鎖屏,并且修改了用戶登錄密碼:

· cmdline:'net user win oo/yUfojOGfTN2Kh'

· cmdline:'C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh'

 

@生成勒索信息文本!-!_README_!-!.rtf,并以“若不繳納贖金則公開文件”的形式來威脅受害者,如下圖所示:

三、安全建議

解決方案

針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網(wǎng)隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

病毒防御

目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

1. 及時給電腦打補丁,修復漏洞。

2. 對重要的數(shù)據(jù)文件定期進行非本地備份。

3. 不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4. 盡量關(guān)閉不必要的文件共享權(quán)限。

5. 更改賬戶密碼,設(shè)置強密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導致一臺被攻破,多臺遭殃。

6. 如果業(yè)務上無需使用RDP的,建議關(guān)閉RDP。

最后,建議企業(yè)對全網(wǎng)進行一次安全檢查和殺毒掃描,加強防護工作。

 
 

上一篇:美臺首次演練網(wǎng)絡攻防戰(zhàn),實為美國意圖固化網(wǎng)絡霸權(quán)夢

下一篇:Facebook墮入史上最大危機近7000頁機密文件走漏