魔鬼撒旦（Satan）勒索病毒携永恒之蓝卷土重来主攻数据库

2018-04-04 10:30:21

近日，腾讯御见威胁情报中心发现多起用户感染魔鬼撒旦（Satan）勒索病毒事件，撒旦（Satan）勒索病毒首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本。

0x1 概述

分析发现此次撒旦（Satan）勒索病毒携手永恒之蓝漏洞攻击工具，利用NSA泄露的永恒之蓝漏洞工具主动攻击局域网内其他存在漏洞的系统，最终有选择性的将服务器数据库进行高强度加密。

加密完成后，会用中英韩三国语言索取0.3个比特币作为赎金，并威胁三天内不支付不予解密。

0x2威胁等级（高危）

危害评估：★★★★☆
加密服务器数据库文件，若无备份，将对企业正常业务产生不可逆的破坏。

影响评估：★★★☆☆

通过永恒之蓝漏洞攻击工具在局域网内横向传播，主动入侵未安装补丁的服务器。

技术评估：★★★☆☆

虽然利用永恒之蓝攻击工具，只要安装系统补丁就能防御此类攻击。

0x3影响面

未安装永恒之蓝漏洞补丁的系统

0x4样本分析

st.exe首先会去C&C服务器上下载ms.exe(永恒之蓝工具)和Client.exe（Satan勒索病毒）并运行，运行后获取本地IP网段，利用释放的永恒之蓝组件进行感染其他机器。

利用shellExecute运行cmd.exe,执行 “/c cd /D C:\\Users\\Alluse~1\\&blue.exe --TargetIp x.x.x.x & star.exe --OutConfig a --TargetPort 445 --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload down64.dll --TargetIp x.x.x.x “

对永恒之蓝组件分析，ms.exe(永恒之蓝工具)是个SFX自解压文件，解压文件夹为 C:\\Users\\Alluse~1\\，组件中注入lsass.exe程序中的down64.dll和down86.dll作用是下载运行st.exe。

Client.exe（Satan勒索病毒）运行后首先关闭sql相关服务：

MySQL、MySQLa、SQLWriter、SQLSERVERAGENT、MSSQLFDLauncher、MSSQLSERVER

结束数据库相关进程

Sqlservr.exe、mysqld.exe、nmesrvc.exe、sqlagent.exe、fdhost.exe、fdlauncher.exe、reportingservicesservice.exe、omtsreco.exe、tnslsnr.exe、oracle.exe、emagent.exe、perl.exe、sqlwriter.exe、mysqld-nt.exe

释放勒索信息ReadMe_@.TXT，比特币钱包地址：1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8，

联系邮箱：satan_pro@mail.ru

当文件在以下目录时，不加密

windows、boot、i386、st_v2、intel、recycle、jdk、lib、lib、all users、360rec、360sec、360sand、favourites、common files、internet explorer、msbuild、public、360downloads