产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
FilesLocker勒索病毒升级 国内受害者比上一版本有所增多
2018-12-26 02:47:10
概述
腾讯御见威胁情报中心早在2018年10月即发布预警,提醒网友注意FilesLocker勒索病毒,这个病毒刚刚诞生就在网上大量招募传播代理,随后在国内开始有部分传播。近期腾讯御见安全团队监测发现该病毒已升级到2.0版,且国内已有政府机关、企事业单位遭遇该病毒攻击。
FilesLocker早期版本作者发布招募代理合作的广告贴
2.0样本
2.0样本依旧伪装Windows更新程序
2.0版本病毒与1.0比较代码结构无太大变化。
原始文件名由Windows Update.exe变为Installer.exe
1.0代样本只通过浏览器跳转到浏览器勒索界面
2.0样本除除跳转到浏览器打开勒索消息界面,还会修改桌面壁纸,且使用了新的域名
2.0版本加密文件扩展名后辍由1.0版本的357个增加到367个,使更多的电脑文件会被加密破坏。
2.0加密文件完成后添加新的加密扩展后缀.[fileslocker@pm.me]
2.0同时会修改的桌面壁纸信息
2.0同样留下中英文两种语言说明文件
弹窗窗口标题明显变化为2.0,相比较1.0版本增加更多的语言说明选择(实际只有中英两种生效),勒索赎金反而有所下降,从1.0版本时的0.18比特币降低到了2.0版本勒索0.15比特币
尝试解密
FilesLocker病毒由于使用了RSA+AES的加密方式,且文件加密密钥使用强随机生成,理论上拿不到病毒作者手中RSA私钥情况下无法解密。但病毒由于采取使用了自身弹窗形式来告知受害者勒索信息,如果加密文件完成后病毒进程没有退出,可以在内存中查找密钥尝试进行解密。
病毒使用强随机生成文件加密密钥
使用密钥
uIpHuZ86TPjx1npNBKH5yAVzYaDCkelgK54TTl1JUqmmSIxVGR55nhNIRKm6AvSVXTX8NbDQZLAQhJqScf0pMZ1jhcWjBhiqk8xUelXsOULxbJf4frJQvFDubH3jLiTSbPeAj
对文件进行AES加密
该密钥在内存中在可暴力搜索获取
密钥搜索可使用以下特征,该特征在内存中仅出现1次,且密钥在该特征位置附近:
6100620063006400650066006700680069006A006B006C006D006E006F0070007100720073007400750076007700780079007A004100420043004400450046004700480049004A004B004C004D004E004F0050005100520053005400550056005700580059005A0031003200330034003500360037003800390030
使用在内存中获取的密钥可进一步尝试对加密文件解密,观察解密数据目测成功
验证解密后文件可正常浏览
结论:当受害者遭受FilesLocker病毒攻击后,不主动关闭退出病毒进程情况下,有较大概率可通过内存查找密钥进而解密出被加密文件。虽然如此,但由于受害用户很可能重启电脑,内存中的残留的密钥会消失,解密也就成为不可能。各政府机关、企事业单位还需做好日常安全防护,避免病毒入侵感染。
IOCs
MD5:
5bd4b2d6a212143f3ebb062246593bf0
d1c2f79125818f1e7ea16784acf63712
URL:
hxxps://iplogger.org/2vMGg5
hxxp://p2.so.qhmsg.com/t017dbe734425296aea.jpg (作者将勒索信息上传到360壁纸空间,可以说是挑衅了)
安全建议
企业用户:
1、 关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令,并定期更换。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、 开启电脑管家
2、 打开文档守护者功能,利用磁盘冗余空间备份数据,即使意外遭遇病毒破坏,数据仍可能恢复。
参考链接:
FilesLocker勒索病毒刚一出现,就迫不及待地发展下线准备大干一场
https://mp.weixin.qq.com/s/6SngH8MmdWqLfQkf3LNUfQ
在线咨询
方案定制