黑客业务

       

WannaCry病毒再攻制造业 工业4.0催生企业安全新需求

腾讯御见威胁情报中心监控新型DATAWAIT勒索病毒在中国发生了许多熏染攻击。该病毒于11月中旬首次出现，腾讯平安专家通过详细分析DATAWAIT勒索病毒已率先解密，可恢复勒索病毒加密.DATAWAIT文件。与其他勒索病毒不同，它们被感染了DATAWAIT勒索病毒熏染，计算机将远程控制。            

   克日，腾讯御见威胁情报中心监控，新型DATAWAIT勒索病毒在海内发生多起熏染攻击。这种病毒首次出现11月中旬，部门受害者感染病毒后，在平安论坛上寻求帮助。腾讯平安专家通过详细分析DATAWAIT勒索病毒已率先解密，可恢复勒索病毒加密.DATAWAIT文件。与其他勒索病毒不同，它们被感染了DATAWAIT勒索病毒熏染，计算机将远程控制。    

   

       

   

   论坛求助贴，很多网友计算机文件也被加密了    

   

   
   

   

   DATAWAIT勒索病毒具有以下特点：    

   

   1.静默安装Patch修改后的TeamViwer攻击者可以远程控制中毒计算机；    

   

   2.Host该文件被病毒重定向，病毒将阻止受害者访问平安制造商的网站；    

   

   3.禁用义务治理器防止受害者通过过过程检查异常；    

   

   4.禁用Windows Defender启动，实时监控效果，使电脑失去珍爱；    

   

   5.防止加密文件引起的加密CPU占用卡顿，伪装当前系统处于补丁更新状态；    

   

   6.外壳部门用代码混淆了平安软件的静态查杀。    

   

   剖析    

   

   Main_V.exe病毒主程序    

   

   Main_V.exe为一个Loader(加载器)通过在内存中装载真正的恶意模块。目的是匹配平安软件的静态查杀。    

               

   外壳程序使用代码混淆匹敌静态查杀，最终在内存中装载恶意代码模块    

   

   Dump(勒索病毒主模块)    

   

   Dump对于勒索病毒的主模块，加密文件后，将添加扩展后缀DATAWAIT，并上传机械MAC信息。作为下载者，进一步下载和执行其他病毒辅助功能模块。    

               

   获取MAC    

               

   盘算MD5    

               

   追加PID=HASH方式上传MAC信息    

   

       

   

   避免上述目录后加密文件    

   

       

   

   添加加密文件DATAWAIT扩展后缀，留下勒索说明文件，称72在小时内联系病毒作者将获得50%在弹出的勒索新闻中，没有公开解释详细的勒索金额。    

   

       

   

   dump模块还将下载以下文件执行    

   

   hxxp://jordan9908.ru/1.exe
   hxxp://jordan9908.ru/2.exe
   hxxp://jordan9908.ru/updatewin.exe
   hxxp://jordan9908.ru/4.exe

   

   1.EXE    

   

   该模块旨在禁用义务治理器Windows Defender启动，关闭Windows Defender实时监控效果。    

               

   禁止使用义务治理器    

   

       

   

   Windows Defender启动禁用启动    

   

       

   

   Windows Defender禁止实时监控    

   

       

   

   恢复默认签名特征库    

   

   2.EXE    

   

   该模块旨在修改Host文件限制被攻击者访问平安网站（包括全球大量平安公司和微软网站）。    

       

   
   

   

       

   

   修改hosts对指定网站进行重定向文件    

   

       

勒索病毒应急响应指导手册

   

   补丁网站和平安网站都被重定向127.0.0.1(使这些网站无法正常接收)    

   

   Updatewin.exe（伪装Windows自动更新）    

   

   由于加密文件的过程可能导致机械堵塞，病毒将使用该模块伪装当前系统，以防止受害者发现异常。    

               

   伪装在桌面右下角的系统更新弹出窗口    

   

   4.EXE    

   

   这个模块实际上是一个TeamViewer压缩包，被Patch后的Team安装包运行后执行TeamViewer.exe运行后，主程序将显示任何界面，并显示当前所需的远程ID，密码上传到病毒作者手中。当病毒作者接受时ID，密码远程登录用户计算机后，可以随意远程控制用户机械。    

   

   
   

   

   而由于TeamViewer.exe主程序本身是一个正常的应用程序，数字签名是有用的，由修改Patch后的dll平安软件将在部门高风险场景下放行文件加载。    

   

   
   

   

   修改版本的TeamViewer安装包，主程序附有有用的签名    

               

   删除恶意代码后Team界面显示显示正常运行    

   

       

   

   包括恶意代码Team运行后无界面显示。    

   

       

   

   由于病毒禁用了义务治理器，病毒在完全运行时无法通过义务治理器发现异常    

               

   最后将Team远程操作ID、密码上传到病毒作者服务器，然后计算机被攻击者远程控制，可以随意操作。    

   

       

   

   可联系实验解密    

               

   经腾讯御见威胁情报中心剖析，该勒索病毒加密的文件可以乐成解密（只针对本文提及的病毒版本，经验证，其它厂商提供的工具尚不能解密），已经中招的网友可实验联系腾讯平安应急团队索取解密工具（QQ：3114282784）。    

   

   IOCs    

   

   MD5:

   

   4137c7f918b9859d6219213e7843041e

   

   3aebd4ff369d3a09905a73b94d83cd69

   

   6f1afdaef8479275a54a64ae20a3e505

   

   71f57d369f6b570521cecafe57685ac1

   

   
   

   

   URL:

   

   hxxp://jordan9908.ru/1.exe
   hxxp://jordan9908.ru/2.exe
   hxxp://jordan9908.ru/updatewin.exe
   hxxp://jordan9908.ru/4.exe

   

   hxxp://paulmcnagets.ru

   

   hxxp://intersys32.com

   

   平安建议    

   

   企业用户：    

   

   1.关闭不必要的端口，如:445、135，139等，对3389，5900等待端口可以设置白名单，只允许白名单IP毗邻上岸。    

   

   2.关闭不必要的文件共享。如有必要，请使用ACL与强密码珍爱限制接见权，禁止匿名接见共享文件夹。    

   

   3、接受高强度密码，停止使用弱密码，并定期更换密码。建议服务器密码使用高强度和不规则的密码，并强制每个服务器使用不同的密码处理。    

   

   4.服务器没有互联网需求/工作站内部接收设置响应控制，防止可连接外网服务器作为跳板进一步攻击其他服务器。    

   

   5.定期非内陆备份主要文件和数据(数据库等数据)。    

   

   6、在终端/服务器部署专业的安全防护软件，Web服务器可以考虑部署在腾讯云等具有专业安全防护能力的云服务中。    

   

   7.建议在全网安装皇家终端安全管理系统（https://s.tencent.com/product/yd/index.html）。皇家终端安全管理系统具有终端杀毒统一控制、修复缺陷统一控制、战略控制等综合安全管理效果，可以帮助企业管理者全面了解、管理企业内部网络安全状态，珍惜企业安全。    

   

       

   

   个人用户：

   

   1. 用腾讯电脑管家珍惜个人电脑    

   

       

   

   2. 打开腾讯计算机管家文档守护者的功效。文档守护者可以在需要时行使硬盘冗余空间备份数据文件，以最大限度地防止用户数据损失。    

警惕！新型DATAWAIT勒索病毒攻击 用户电脑或远程控制