在2019年10月,一種名為“MedusaLocker”的勒索病毒在國外安全圈被炒得沸沸揚揚,原因是該病毒的源代碼不知怎麼就洩露了出來,甚至還包括一個在當時正處於開發中的Debug版本。
技術分析
MedusaLocker具有勒索病毒的典型特徵。在執行時,它會將自身複製到“%APPDATA%\Roaming\”目錄。
為了實現長久駐留,它會在Windows中創建計劃任務以執行PE32(PE32在執行之前存儲在“%APPDATA%\Roaming”中)。
計劃任務被配置為在初始感染後每15分鐘執行一次,以便能夠對後續新創建的文件進行加密。
MedusaLocker被配置為遍歷所有可能存在的磁盤分區,目的是加密儘可能多的文件,以換取更高的贖金。
文件在被加密後,將被額外添加一個新的擴展名——“.encrypted”。
一個被命名為“HOW_TO_RECOVER_DATA”的贖金票據將出現在每一個目錄中,以提示受害者支付贖金。
需要注意的是,贖金票據並非固定不變,你可能還會看到這樣的版本:
為了阻止受害者恢復文件,MedusaLocker還被配置為能夠使用Windows操作系統中內置的“vssadmin”實用程序來刪除卷影副本。
尤為需要注意的是,MedusaLocker還可以執行ICMP掃描以識別同一網絡下的其他主機,以加密任何可以找到的文件,進一步提高贖金金額。
安全建議
電子郵件是包括MedusaLocker在內的大多數惡意軟件的主要傳播媒介之一,因此養成良好的電子郵件使用習慣尤為重要。與之相對應的,是定期對員工進行網絡釣魚相關知識培訓。
此外,定期對系統和軟件進行更新同樣不容忽視,因為任何漏洞都可能成為網絡入侵的突破口,而一款可靠的端點安全軟件在這方面可以給予我們很大的幫助。
分享到:
