近日,深信服安全團隊跟蹤到多起GandCrab勒索病毒最新變種感染事件。由於感染主機桌面屏幕會被設置成為深藍色,深信服將該變種命名為GandCrab勒索DeepBlue變種。
該勒索變種使用RSA+AES算法進行加密,加密文件後會使用隨機字符串作為後綴,且更換桌面為深藍色背景。目前該勒索暫時無法解密,深信服提醒廣大用戶防範該勒索變種入侵感染。
病毒名稱:GandCrab勒索DeepBlue變種
病毒性質:勒索病毒
影響範圍:已有多省份用戶受感染,包括但不限於政府、醫藥、教育等行業
危害等級:高危
傳播方式:漏洞利用、RDP暴力破解等方式傳播
病毒描述
GandCrab勒索DeepBlue變種在功能代碼結構上與GandCrab非常相似,同時應用了多種反調試和混淆方式,且似乎還處於不斷調試的階段,變種使用RSA+AES算法進行加密,加密文件後會使用隨機字符串作為後綴,且更換桌面為深藍色背景(標題題目會變化),具體勒索特徵如下:
並釋放勒索信息文件“加密後綴-readme.txt”或“加密後綴-HOW-TO-DECRYPT.txt”。
入侵分析
GandCrab勒索DeepBlue變種入侵方式呈現多樣化,截至目前收集到以下入侵手段(不排除將來有更多入侵手段):
- 利用Confluence漏洞(CVE-2019-3396)
- RDP暴力破解
- FCKeditor編輯器漏洞
- WebLogic wls9-async反序列化遠程命令執行漏洞
值得一提的是,該攻擊者(團伙)近期活躍頻繁,且慣用手法是利用多種可能存在漏洞傳播勒索病毒來入侵用戶終端,並且疑似在開發新型的勒索病毒家族變種。
病毒詳細分析
1.樣本母體使用多種加密操作。解密出第一層Payload代碼,再解密出勒索核心Payload代碼,如下所示:
2.提升進程權限。
3.內存中解密出勒索信息文本,生成隨機勒索信息文本文件名:[隨機數字字符串]+[-readme.txt]:
4.遍歷進程,結束mysql.exe進程。
5.通過cmd.exe執行相應的命令,刪除磁盤卷影,如下所示:
6.遍歷磁盤文件目錄、共享文件目錄以及磁盤文件,然後使用RSA+AES算法進行文件加密,如下所示:
7.生成勒索信息桌面圖片,更改桌面背景圖片。
8.從內存中解密出來的域名列表中,選取一個域名進行URL拼接,然後向URL發送相應的數據。
解決方案
針對已經出現勒索現象的用戶,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服提醒廣大用戶儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。
病毒檢測查殺
1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:
病毒防禦
1、及時給電腦打補丁,修補漏洞,修改弱密碼。
2、對重要的數據文件定期進行非本地備份。
3、有Confluence應用的用戶,需升級Confluence版本,並主動升級widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。其中:
版本6.6.12及更高版本的6.6.x.
版本6.12.3及更高版本的6.12.x
版本6.13.3及更高版本的6.13.x
版本6.14.2及更高版本
4、有WebLogic應用的用戶,請參考
https://mp.weixin.qq.com/s/Flc2eHmIystJ5sqJ33pJug修復相關漏洞。
5、深信服下一代防火牆用戶,建議升級到AF805版本,並開啟深信服SAVE安全智能檢測引擎,以達到最好的防禦效果。
6、深信服EDR用戶,建議升級到3.2.8以上版本,病毒庫升級到20190507版本,以達到最好的防禦效果。
7、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅。
最後,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+下一代防火牆+EDR,對內網進行感知、查殺和防護。
閱讀更多 深信服科技 的文章
