勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒

0x0概述

近年来,老式勒索病毒依旧活跃,而新型勒索病毒花样百出,深信服安全云脑就捕获到一款具有“地方特色”的勒索病毒,其加密后缀为.beijing。

该病毒会加密指定后缀文件,在系统盘加密用户目录下的文件,并生成勒索提示文档(!RECOVER.txt),要求用户通过邮箱联系黑客,使用比特币支付赎金来解密个人文件。

0x1详细分析

该样本使用UPX加壳,编译时间为2019年9月10日,使用C++编写;

图片1.png

大量函数调用使用动态计算的地址,以阻止对文件进行逆向分析;

图片2.png

使用LoadLibrary、GetProcAddress加载kernel32、advapi32等DLL及部分函数;

图片3.png

从自身读取数据:

图片4.png

图片5.png

图片6.png

配置文件使用了protobuf序列化;

图片7.png

包含大量加密文件后缀:

图片8.png

生成用户Personal ID及Hash值,Personal ID随机生成并使用base 64加密;

图片9.png

在文件目录下创建勒索提示文档!RECOVER.txt及__lock_XXX__文件;

图片10.png

勒索提示文档:

图片11.png

遍历目录下所有文件;

图片12.png

打开待加密文件;

图片13.png

重命名为*.beijing;

图片14.png

使用AES算法加密 ;

图片15.png

文件末尾写入二次加密后的AES密钥;

图片16.png

完成加密后自删除。

图片17.png

0x3 IOC

MD5:9ed1bc466b3a1f1844f50791c16a77c1

0x4 加固建议

1. 使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

2. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

3. 定期使用安全软件进行全盘扫描和处置,定期检测系统漏洞并且进行补丁修复。

本文作者:深信服千里目安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/137247.html

Tags:
评论  (0)
快来写下你的想法吧!

深信服千里目安全实验室

文章数:184 积分: 1395

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号