近日,终端安全团队收到一起安全求助,用户反馈其主机文件被加密,加密后缀为”.perfection”。通过安全专家的深入分析,发现这次勒索事件比较特别,虽然只有一种文件加密后缀,然而事实上是中了两种不同的勒索病毒,分别为MedusaLocker和GlobeImposter。
如下为加密现场,可以看到同时有MedusaLocker和GlobeImposter这两种勒索家族的勒索信息,其中GlobeImposter的勒索信息文件已经被加密:
在中毒主机中发现了MedusaLocker和GlobeImposter的勒索病毒文件,分别命名为”perf1.exe”和”perf2.exe”,如下:
下图左侧为MedusaLocker,右侧为GlobeImposter的勒索信息,可以看到其联系邮箱相同:
我们知道,不同家族的勒索病毒由于其加密方式不同,所以解密方式也不相同,多次加密往往会对解密造成更大的困难以及不确定因素,因此会造成更大的危害。
MedusaLocker及GlobeImposter勒索病毒都不具备主动传播行为,通常通过钓鱼邮件、RDP暴破等方式进行传播。在攻击现场,通过排查日志可以看到攻击方式为RDP暴破,如下为登录成功记录:
同时在中毒主机上发现了多种黑客工具,主要用于内网扫描、窃取密码、关闭防火墙等:
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/163177.html
必填 您当前尚未登录。 登录? 注册
必填(保密)