恶意文件名称:
Play
威胁类型:
勒索病毒
简单描述:
Play 是一款勒索病毒,最早出现于 2022年6月,能够加密受害者主机上的关键文件,敲诈勒索谋取利益。
近期,深信服深盾终端实验室在运营工作中发现,一款名为 Play 的勒索病毒正在悄悄传播。该勒索病毒程序运行后,会加密受害主机上的重要文件,如果该程序通过管理员权限运行,最后会释放内容非常简短的勒索信,敲诈数字货币以谋取利益。
该勒索病毒家族似乎仍处于萌芽阶段,目前全网对于该家族病毒的信息非常少。
1.在分析过程中发现,该病毒可以通过命令行参数启动相应的功能,-p 和 -d 参数都会根据具体的值加密指定目录,-d 则会在路径前加上 ”\\?\” ,猜测可能是调试参数;-ip 参数则会根据后面的 IP 地址、用户名、密码三个参数,通过远程共享文件加密文件;若不加参数,则会加密本地磁盘上的所有文件。
对于不同的功能,除不同的初始化过程外,都采用了相同加密过程。
2. 程序启动后,会初始化全局的函数地址表,通过 API HASH 方法定位常用的函数,将函数地址保存在全局变量里。
3. 接下来,程序自动遍历 DLL 模块的导出表,计算各个导出函数名的 HASH,再与目的 HASH 比较,来确定是否为目的函数。
4.完成以上工作,程序会枚举受害主机上的 A-Z 26 个盘符,判断磁盘是否满足加密条件,满足条件则进行加密工作。
6. 在加密阶段,程序会跳过特定的目录,包括 Windows、Microsoft、Boot、winnt System Volume Information、Netlogon、sysvol、$RECYCLE.BIN,而且程序不加密勒索信 ReadMe.txt 文件。
与大部分勒索病毒家族不同的是,程序不会加密 .exe,.dll,.lnk,.sys,.msi 后缀的文件。
7.在加密过程中,程序维持了一个全局的结构体数组,每一项储存这着一个将要加密的文件信息和条件,数组长度为 256,说明程序最多可同时加密 256 个文件。开始加密流程时,文件会占其中一项,初始化结构体,并填充文件信息作为新的文件加密线程的参数。
(1)创建新线程加密文件
(2)存储文件信息和条件的结构体的部分字段偏移和注释。
8.在文件共享方面,程序会获取映射网络驱动器,再使用相同的加密函数进行加密。
10.最后,程序释放勒索信。
有趣的是,在磁盘根目录释放勒索信会需要管理员权限,因此在恶意文件未使用管理员权限启动时,会导致勒索信释放失败。这导致在恶意文件论坛的讨论中,有受害者疑惑该勒索家族的恶意程序为什么在加密之后未释放勒索信。
1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2. 避免到信誉不明的网站下载应用程序。
3. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;
4. 定期使用杀毒软件进行全盘扫描。
【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
MD5
0ba1d5a26f15f5f7942d0435fa63947e
SHA-1
92284cdbefe3fe21a57aa1b0fba23dbca16069eb
SHA-256 7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0
