新勒索病毒 Ouroboros 來襲�����,多地醫療、電力系統受攻擊
一����、概述
騰訊安全御見威脅情報中心通過蜜罐系統監測到Ouroboros勒索病毒在國內有部分傳播�����,監測數據表明,已有湖北���、山東等地的醫療、電力系統的電腦遭遇該勒索病毒攻擊�����。經分析發現�����,該病毒的破壞僅在部分有限的情況可解密恢復,但在病毒按預期運行,基礎設施完善情況下,暫無法解密���。
Ouroboros勒索病毒首次出現于2019年8月中旬,目前發現其主要通過垃圾郵件渠道傳播,由于其PDB路徑中包含Ouroboros故因此得名����,該病毒加密文件后會添加.Lazarus擴展后綴����。
騰訊安全提醒各政企機構提高警惕�����,避免打開來歷不明的郵件��,騰訊電腦管家或騰訊御點終端安全管理系統可以查殺該病毒。
Ouroboros勒索病毒的主要特點:
1.病毒會刪除硬盤卷影副本;
2.部分樣本會禁用任務管理器;
3.病毒加密前會結束若干個數據庫軟件的進程��,加密文件時會避免加密Windows,eScan等文件夾�;
4.個別情況下,該病毒的加密可以解密。在病毒按預期運行,基礎設施完善情況下��,暫無法解密���;
5.攻擊者彈出勒索消息����,要求受害者通過電子郵件聯系后完成交易。
二、分析
Ouroboros勒索病毒通常使用外殼程序來進行偽裝����,通過內存可Dump出勒索payload
查看勒索payload可知其PDB�����,根據PDB文件名�,將該病毒命名為Ouroboros勒索病毒。
病毒運行后首先使用PowerShell命令行刪除卷影
部分樣本還會同時禁用任務管理器?
首先獲取本機的IP���,磁盤信息�,隨機生成的文件加密Key信息��,使用的郵箱信息進行上報
獲取本機IP服務接口:hxxp://www.sfml-dev.org/ip-provider.php
病毒接收請求服務器IP:176.31.68.30
隨后對服務器返回結果進行判斷是否正常�����,當服務接口失活情況則拷貝一個硬編碼密鑰NC1uv734hfl8948hflgGcMaKLyWTx9H進行備用
加密前結束數據庫相關進程列表:
sqlserver.exe
msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlwriter.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
加密時避開以下關鍵詞目錄和文件:
Windows
eScan
!Qhlogs
Info.txt
硬編碼的加密IV:1096644664328666
使用硬編碼密鑰KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H進行AES文件加密
加密后如果為大文件則向后移動文件指針0xDBBA0處繼續加密0x15F90字節大小內容
文件被加密為原始文件名.[ID=random][Mail=勒索郵箱號].Lazarus
例如如下圖中“安裝說明.txt”文件被加密為“安裝說明.txt.[ID=40BjcX1Eb2][[email protected]].Lazarus”
由于當前分析病毒版本接口未返回有效信息,病毒使用離線密鑰進行加密,所以可以嘗試對文件進行解密����,編寫測試demo可將上述“安裝說明.txt”成功解密出原始內容�����。但由于在該病毒基礎設施完善情況下,病毒攻擊過程中使密鑰獲取困難,故該病毒的解密不容樂觀。
病毒同時會留下名為Read-Me-Now.txt的勒索說明文檔�����,要求聯系指定郵箱購買解密工具
同時在ProgramData目錄釋放執行uiapp.exe彈出勒索說明窗口進一步提示勒索信息�。
三、安全建議
企業用戶:
針對該病毒的重點防御方案:
1.針對該勒索病毒主要通過電子郵件傳播的特點��,建議企業對員工加強安全意識教育�,避免點擊下載郵件附件。使用MS Office的用戶���,應盡量避免啟用宏功能,除非該文檔來源可靠可信�����。
2.使用騰訊御點終端安全管理系統或騰訊電腦管家攔截病毒����,并啟用文檔守護者功能備份重要文檔���。
3.企業用戶可以使用騰訊御界高級威脅檢測系統��,御界系統發現可疑郵件��,并將可疑郵件的附件通過沙箱分析。在本案例中���,御界系統的沙箱功能,分析出危險附件具有可疑的加密敲詐行為�。
通用的安全措施:
1.企業內網可以關閉不必要的網絡端口�,降低黑客在內網攻擊傳播的成功率�。如:445、135��,139等�,對3389,5900等端口可進行白名單配置����,只允許白名單內的IP連接登陸�。
2��、盡量關閉不必要的文件共享����,如有需要�,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問��。
3����、采用高強度的密碼,避免使用弱口令密碼��,并定期更換密碼��。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理�。
4��、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器�。
5����、對重要文件和數據(數據庫等數據)進行定期非本地備份。
6��、在終端/服務器部署專業安全防護軟件�����,Web服務器可考慮部署在騰訊云等具備專業安全防護能力的云服務���。
7��、建議全網安裝御點終端安全管理系統(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統具備終端殺毒統一管控��、修復漏洞統一管控���,以及策略管控等全方位的安全管理功能����,可幫助企業管理者全面了解、管理企業內網安全狀況���、保護企業安全。
個人用戶:
1���、啟用騰訊電腦管家,勿隨意打開陌生郵件���,關閉Office執行宏代碼����。
2、打開電腦管家的文檔守護者功能,利用磁盤冗余空間自動備份數據文檔�,即使發生意外�����,數據也可有備無患。
IOCs
MD5:
87283fcc4ac3fce09faccb75e945364c
e17c681354771b875301fa30396b0835
感染信息上報IP:
176.31.68.30
勒索郵箱:
[email protected]
[email protected]
[email protected]
[email protected]
離線情況AES密鑰:
KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H
IV:1096644664328666
原文來源:Hacker New
