腾讯安全反病毒实验室:最新“XData”勒索病毒可在内网中蠕虫传播

2017-12-29 15:25:42
前几日的“WannaCry”勒索病毒席卷全球,让世界见识了勒索病毒的威力。此次攻击事件提高了公众对计算机安全的认知,增强了用户的反病毒意识。多年以来,一些不法分子看中了勒索用户所获取的巨大利益,变化各种传播方式,改变加密手法,试图在勒索这块黑产链中获取一杯羹。

背景

前几日WannaCry”勒索病毒席卷全球,让世界见识了勒索病毒的威力此次攻击事件提高了公众对计算机安全的认知,增强了用户的反病毒意识。多年以来,一些不法分子看中了勒索用户所获取的巨大利益变化各种传播方式,改变加密手法,试图在勒索这块黑产链中获取一杯羹。今日腾讯安全反病毒实验室发现一类最新的“XData”勒索病毒。此病毒目前已在乌克兰,俄罗斯德国等地传播,国内也出现了个别中毒用户腾讯安全反病毒实验室在第一时间对病毒做出分析。


勒索流程



从现有收集到的信息,我们病毒勒索流程分为两个阶段互联网中,病毒作者利用社工的手法诱骗用户去运行此病毒。当用户点击此勒索病毒后,病毒会在电脑上得到执行的机会,如果电脑处于局域网环境,病毒会利用Mimikatz工具,获取电脑的管理员登录凭证,并借此密码尝试连接局域网其他电脑的139端口,试图访问共享资源文件夹。

如果猜对密码或者远程用户没有设置共享目录密码,那么病毒便会加密共享目录下的所有文件,并释放勒索提示文件成功勒索局域网内其他用户。



从上图我们看到IPC$,看到这几个字符,相信大家就会想到当年肆虐全国熊猫烧香”病毒。当年“熊猫烧香”也是进行局域网内扫描,当发现能成功连接攻击目标的139或445端口后,使用内置的一个用户列表及密码字典进行连接。当成功连接上以后,复制自己到目标机器,并利用计划任务启动激活病毒。这也是当年“熊猫烧香”病毒得以广泛传播的原因之一,“XData”或者其它病毒也完全可以借鉴此手法进行传播,隐患非常大。

根据以上的分析,“XData”前端时间爆发的“WannaCry”相比在传播手法上各有两者都是利用Windows共享资源端口进行传播。但不同的是“WannaCry”是利用漏洞在互联网中传播,而“XData则是尝试用口令或者密码连接局域网内机器,如果连接成功,则加密勒索局域网内其他用户共享目录的文件。“XData”病毒在局域网中传播方式给我们一定的提示,要做好网络资源共享目录的安全检查,关闭不需要的共享目录,防止被局域网中其它染毒机器攻击



加密方式

“XData”病毒的加密方式与以往的勒索病毒加密手法基本一致,但是有几个比较新颖的地方首次出现,值得我们去关注病毒在利用AES加密的文件的时候,会去查看客户端硬件平台是否支持AES-NI。AES-NI是一个x86指令集架构的扩展,用于Intel和AMD微处理器,该指令集的目的是改进应用程序使用高级加密标准(AES)执行加密和解密的速度。如果支持AES-IN的话,那么病毒会利用硬件加速技术大大提高加密效率。病毒加密文件结束后,会把AES的密钥用公钥加密后释放到本地





同时病毒会释放一个解释说明文件HOW_CAN_I_DECRYPT_MY_FILES.txt,指导用户按照其要求联系作者进行解密,并把之前释放的key.~xdata~文件发送到作者手中。目前此说明文件仅有英文版本。



预防与查杀

腾讯电脑管家提醒广大用户强化网络安全意识,保持腾讯电脑管家实时开启状态,并及时更新系统。可以使用电脑管家工具箱中的“文档守护者”工具,或者哈勃分析系统提供的一键备份工具(https://habo.qq.com/tool/detail/filebackup)对重要文档进行备份。遇到可疑文件,可以上传到哈勃分析系统(https://habo.qq.com/)确认其安全性。目前,腾讯电脑管家和哈勃分析系统(https://habo.qq.com/)已经能够拦截和查杀此病毒。







最新资讯