专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
算法与数学之美  ·  Deepseek横空出世,打脸中科院孙院士团队! ·  12 小时前  
算法爱好者  ·  DeepSeek 下棋靠忽悠赢了 ... ·  昨天  
看电视  ·  总局微短剧新规!统筹发展和安全,落实“分层分 ... ·  3 天前  
算法与数学之美  ·  二级教授、大学原副校长,国务院特殊津贴获得者 ... ·  2 天前  
电视剧鹰眼  ·  【关注】湖南卫视,芒果TV出品电视剧《大梦想 ... ·  3 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

Ryuk勒索再进化,可利用SMB主动传播或威胁内网安全

深信服千里目安全实验室  · 公众号  ·  · 2021-04-01 20:14

正文

背景概述

Ryuk勒索 病毒 最早在2018年8月由国外某安全公司报道,名称来源于死亡笔记中的死神,其早期变种主要通过垃圾邮件、漏洞利用工具包、RDP暴破以及木马下发等方式进行攻击,与大部分勒索病毒一样,依赖于人工运行,无主动传播行为。
*早期变种分析文章:
https://mp.weixin.qq.com/s/fNl5mdfVuaI_On8aZc57Zg

深信服终端安全团队 此次发现的最新变种,入侵方式和早期变种无太大差别,但病毒样本 增加了通过SMB主动传播的蠕虫性质 ,若客户内网多台主机 采用相同的账号密码 ,一旦不慎感染便可能会对内网主机造成大规模破坏,造成不可挽回的损失。

样本分析

将病毒文件复制为xxxxxxxxxrep.exe及xxxxxxxxxlan.exe,如下:

设置复制后的文件为隐藏属性:

加参数运行复制的病毒文件,如下:–LAN:xxxxxxxxxlan.exe 8 LAN–REP:xxxxxxxxxrep.exe 9 REP

停止如下服务:
audioendpointbuildersamssvmcompBack
....

执行icacls / grant Everyone:F / T / C / Q删除对应目录的访问限制:

使用AES256算法对文件进行加密,每个加密文件对应一个AES密钥,密钥由CryptGenKey生成,并使用RSA算法对其加密,如下:

加密后的文件后缀名修改为”.RYK”:

生成勒索信息:

病毒会抓取本机凭证,并通过SMB登录内网中相同用户名及密码的主机传播病毒文件,如下为病毒登录成功日志:

在远程主机中传入病毒文件后,远程创建任务计划运行远程主机中的病毒程序,实现内网传播:


深信服产品解决方案

1、深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:
2、深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
3、深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;
4、深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

日常加固建议

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给系统和应用打补丁,修复常见高危漏洞;
2、对重要的数据文件定期进行非本地备份;
3、不要点击来源不明的邮件附件,不从不明网站下载软件;
4、尽量关闭不必要的文件共享权限;
5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。






请到「今天看啥」查看全文


推荐文章
算法与数学之美  ·  Deepseek横空出世,打脸中科院孙院士团队!
12 小时前
算法爱好者  ·  DeepSeek 下棋靠忽悠赢了 ChatGPT,网友:孙子兵法都用上了
昨天
看电视  ·  总局微短剧新规!统筹发展和安全,落实“分层分类”审核
3 天前
算法与数学之美  ·  二级教授、大学原副校长,国务院特殊津贴获得者刘华,被立案调查
2 天前
电视剧鹰眼  ·  【关注】湖南卫视,芒果TV出品电视剧《大梦想家》近日官宣杀青
3 天前
有车以后  ·  这个国家能娶4个老婆,汽油比水便宜,他们最喜欢的车却是这台!
7 年前
古玩元素网  ·  程门浅绛“天下第一巨瓷板”,惊现嘉兴文人瓷大会,原来来自赣州山林农户家!
7 年前
娱乐哔姐  ·  为了17岁的情人,梁家辉在这部限制级电影中不惜露臀
7 年前
摄脉  ·  正式开始招生!「人像摄影全程班第2期」
7 年前
上海证券报  ·  经济转稳态势确立,股市还在下跌途中!经济晴雨表的功能去哪了?
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!