黑客业务

       

狼披着羊皮：双平台采矿木马MServicesX分析

2018年，根据腾讯智能平安御见威胁情报中心的监控9-10本月，勒索病毒攻击主要由GandCrab，Crysis，GlobleImposter三大家庭提议，Satan，Rapid家庭等也有一定程度的活动，以PyLocky，FilesLocker以此为代表的新兴勒索病毒首先流入海内。            

   根据腾讯智能平安御见威胁情报中心的监控，2018年9-10本月，勒索病毒攻击主要由GandCrab，Crysis，GlobleImposter三大家庭提议，Satan，Rapid家庭等也有一定程度的活动，以PyLocky，FilesLocker以此为代表的新兴勒索病毒首先流入海内。    

   

   
   

   

   9月初勒索攻击趋势明显上升，10月中旬首次下降，但波谷峰值差异较大，勒索病毒的整体攻击趋势仍有可能随时发生。在勒索攻击领域，上海、广东、浙江是最严重的，其他地方遭受了不同程度的攻击。

   

       

   

   9，10月勒索病毒攻击趋势图    

   

   
   

   

       

   

   9，10月勒索病毒攻击区域漫衍    

   

   
   

   

   GandCrab

   

       

   

   GandCrab 勒索病毒9月末完成4.0到5.0系列的大版本升级已经过去了9，10攻击趋势在两个月内显著上升，成为过去两个月最活跃的勒索病毒之一。    

   

   
   

   

   10月中旬，叙利亚受害者的电脑被击中GandCrab受害者在推特上说，勒索病毒加密了他的电脑，他再也看不到儿子的照片了，儿子在战争中丧生。GandCrab勒索病毒在黑客论坛上向受害者道歉，并宣布了叙利亚之前版本的加密钥，然后迅速宣布GandCrab勒索病毒的5.0.5自该版本以来，叙利亚不再被列入熏染损伤清单。    

   

   前最新迭代版本病毒加密文件完成后会添加随机5-10扩展后缀的字符，不能解密。GandCrab勒索病毒造成了巨大的损害，许多医疗机构的关键数据被加密。    

   

   Satan

   

       

   

   
   

   

   Satan勒索病毒行使了一系列高风险缺陷，腾讯智能安全团队10.19每天捕捉病毒4.2撒旦最新迭代版通过工艺分析确认（Satan）可以解密勒索病毒加密文件。10.30日腾讯智能安全团队接受了广东省一家上市公司的安全帮助。由于企业服务器未部署成熟的安全解决方案，所有文件都被病毒攻击加密.sicck扩大后缀，腾讯智能安全团队一度抢救数据。乐成恢复了服务器中的主要数据，得到了企业对接同事的高度认可和感谢。    

   

   Crysis

   

       

   

   Crysis勒索家族主要通过Rdp爆破进入用户机械，病毒在9月中旬最先使用.gamma加密文件扩展后缀。目前，活跃病毒版加密文件完成后的扩展后缀通常是combo，gamma。    

   

   Rapid

   

       

   

   
   

   

   Rapid勒索病毒家族在2017加密文件完成后会增加一年.Rapid扩展后缀。2018年101月底，腾讯智能安全团队发现其最新变种在中国首次流动。最新版本的变种加密文件将在完成后添加.no_more_ransom扩展后缀，并在加密文件目录下发布How Recovery Files.txt勒索提示文件。    

   

   PyLocky

   

   
   

   

       

   

   
   

   

   
   

   

       

   

   腾讯智能安全团队9月初也捕捉到了使用。Python编写的PyLocky勒索病毒，该病毒伪装为DOCX文档图标诱使受害者点击。病毒感染后，将加密并添加机械大部分部门的主要数据文件.lockedfile扩展后缀。与其他病毒不同的是，勒索病毒还携带正式的数字签名证书。过去发现的大多数案例都是流氓软件或木马程序。勒索病毒很少使用白色签名。一旦勒索病毒有合法证书，很容易被平安软件释放，严重影响网络安全。一旦病毒攻击成功，将给企业带来不可逆转的严重损失。

病毒团伙活动报告抓鸡狂魔

   

   FilesLocker

   

       

   

   
   

   

       

   

   
   

   

   FilesLocker使用C#与其他勒索病毒相比，勒索病毒本身并不特别。病毒加密文件完成后，添加locked扩大后缀，留下中美两种语言的勒索提醒文本信息。现在病毒的吸烟量相对有限，病毒传播渠道也不是很清楚，显然是新手。但危险的是，病毒作者正在招募大量的病毒传播机构，一旦FilesLocker勒索病毒有足够厚的传播渠道，将成为企业和个人数据安全的灾难。

   

   Suri

   

       

   

   
   

   

   Suri勒索病毒泛起9月初，病毒加密文件完成后将添加.SLAV扩展后缀，弹出窗口用意大利语言显示勒索提醒信息。为了威胁被攻击者尽快支付赎金。病毒作者还在弹出窗口信息上添加了一个360倒计时分钟（360=60h），看来病毒作者需要重新审查小学数学......    

   

   CommonRansom

   

   

   

   
   

   

   CommonRansom最新变种泛起10在月底，病毒加密文件将被添加.CommonRansom 扩展后缀。病毒中最奇怪的是，对于受害者，病毒作者要求他们打开远程桌面服务，进一步由病毒作者远程登录机械进行解密。这无疑是极其危险的，因为一旦病毒作者通过RDP远程登录乐成后，受害者的装备完全由病毒作者控制，很可能带来更大的灾难。    

   

   
   

   

   平安建议    

   

   企业用户：

   

   1. 只需关闭不必要的端口，如:445、135，139等，对3389，5900等待端口可以设置白名单，只允许白名单IP毗邻上岸。    

   

   2. 关闭不必要的文件共享。如有必要，请使用ACL与强密码珍爱限制接见权，禁止匿名接见共享文件夹。    

   

   3、 接受高强度密码，停止使用弱密码，并定期更换密码。建议服务器密码使用高强度和不规则的密码，并强制每个服务器使用不同的密码处理。    

   

   4. 服务器没有互联网需求/工作站内部接收设置响应控制，防止可连接外网服务器作为跳板进一步攻击其他服务器。    

   

   5、 定期非内陆备份主要文件和数据(数据库等数据)。    

   

   6， 终端/服务器部署专业的安全防护软件，Web服务器可以考虑部署在腾讯云等具有专业安全防护能力的云服务中。    

   

   7.建议在全网安装皇家终端安全管理系统（https://s.tencent.com/product/yd/index.html）。皇家终端安全管理系统具有终端杀毒统一控制、修复缺陷统一控制、战略控制等综合安全管理效果，可以帮助企业管理者全面了解、管理企业内部网络安全状态，珍惜企业安全。    

   

       

   

   
   

   

   私人用户:    

   

   1. 打开电脑管家，减少使用插件和盗版破解软件。    

   

   2. 打开文档守护者的功效，防止勒索病毒损坏时主要数据造成无法弥补的损失。    

   

   
   

   

   勒索病毒加密文件后的自救

   

   如果用户文档不幸被勒索病毒加密，可以使用腾讯电脑管家勒索病毒搜索引擎寻找已知的自救流程，电脑管家搜索引擎覆盖国内外网络280多个勒索病毒家族的相关信息可以解密100多种勒索病毒。部门可以实验解密受害者加密的文件。https://guanjia.qq.com/pr/ls/    

   

       

注意！双平台采矿木马MServicesX借用白签名躲避杀毒软件