勒索方式升级,谨防双重加密

2021-07-23 5,206

近日,终端安全团队收到一起安全求助,用户反馈其主机文件被加密,加密后缀为”.perfection”。通过安全专家的深入分析,发现这次勒索事件比较特别,虽然只有一种文件加密后缀,然而事实上是中了两种不同的勒索病毒,分别为MedusaLocker和GlobeImposter。

 

攻击现象

 

如下为加密现场,可以看到同时有MedusaLocker和GlobeImposter这两种勒索家族的勒索信息,其中GlobeImposter的勒索信息文件已经被加密:

图片1.png


在中毒主机中发现了MedusaLocker和GlobeImposter的勒索病毒文件,分别命名为”perf1.exe”和”perf2.exe”,如下:

图片2.png


下图左侧为MedusaLocker,右侧为GlobeImposter的勒索信息,可以看到其联系邮箱相同:

图片3.png


我们知道,不同家族的勒索病毒由于其加密方式不同,所以解密方式也不相同,多次加密往往会对解密造成更大的困难以及不确定因素,因此会造成更大的危害。

 

传播方式

MedusaLocker及GlobeImposter勒索病毒都不具备主动传播行为,通常通过钓鱼邮件、RDP暴破等方式进行传播。在攻击现场,通过排查日志可以看到攻击方式为RDP暴破,如下为登录成功记录:

图片4.png

同时在中毒主机上发现了多种黑客工具,主要用于内网扫描、窃取密码、关闭防火墙等:

图片5.png

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/163177.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:248 积分: 1995

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号