警惕:疑似FilesLocker招募到代理,新勒索病毒自命名Gorgon(蛇发女妖)

2019-02-20 15:19:50
腾讯御见威胁情报中心监测到,一款名为Gorgon的勒索病毒在国内感染多家政企机构。Gorgon为传说中的蛇发女妖,任何人看她一眼就会瞬间石化,Gorgon病毒在勒索界面的显著位置使用了蛇发女妖的图标。病毒作者似乎在暗示:只要中毒,你的系统就石化了。

一、概述

近日,腾讯御见威胁情报中心监测到,一款名为Gorgon的勒索病毒在国内感染多家政企机构。Gorgon为传说中的蛇发女妖,任何人看她一眼就会瞬间石化,Gorgon病毒在勒索界面的显著位置使用了蛇发女妖的图标。病毒作者似乎在暗示:只要中毒,你的系统就石化了。

这个名字也令安全研究人员十分警惕,Gorgon Group是一个被认为来自巴基斯坦的专业黑客组织,该组织的攻击目标包括英国、西班牙、俄罗斯、美国政界商界组织或人员。

不过,腾讯安全专家很快发现,本次捕获的勒索病毒虽起名Gorgon,但并未发现与Gorgon Group组织有任何关联。技术分析发现,这个Gorgon勒索病毒实为FilesLocker勒索病毒的换肤版本,Fileslocker勒索病毒最早出现于201810月,一出现就大量招募下级代理渠道,随后在国内开始持续传播感染,这个换肤后的Gorgon勒索病毒疑为某个下线渠道的轻微改动。

Fileslocker勒索病毒的详细分析可参考:《FilesLocker勒索病毒刚一出现,就迫不及待地发展下线》一文

二、分析

通过分析Gorgon勒索病毒可知,该病毒变种整体比较FilesLocker之前版本变化主要有以下几点:

1.勒索病毒UI的整体变化,同时支持中英韩三种语言(新增韩语);

2.释放桌面勒索提示文件由FilesLocker版本的txt变化为html,勒索说明更加详细;

3.攻击成功后替换桌面壁纸的改变;

4.FilesLocker桌面壁纸存放地址取消使用;

    hxxp://p2.so.qhmsg.com/t017dbe734425296aea.jpg

5.新增Winlogon系统登录项添加,用于在开机登录界面展示勒索信息;

6.勒索扩展后缀由FilesLocker版本的.[FilesLocker@pm.me]改变为.[buy-decryptor@pm.me]

7.相比较FilesLocker版本代码增加混淆;

8.勒索加密使用到的RSA公钥改变,导致之前病毒作者释放出用于解密的RSA私钥也无法解密。

FilesLocker 勒索病毒的勒索提示


Gorgon勒索病毒的勒索提示


以上可见,除勒索框颜色由红变绿,FilesLockerGorgon勒索病毒勒索UI布局基本一致。


桌面留下的勒索说明文档由txt变化为html


勒索说明文档增加韩语版本,可看出中英勒索说明文件名与Gorgon变种基本一致。

FilesLocker勒索病毒修改的桌面壁纸


Gorgon勒索病毒修改的桌面壁纸


相比较FilesLocker来说更加简洁,只留下了英文版本的说明。

FilesLocker勒索病毒加密后的文件后辍.[FilesLocker@pm.me]


Gorgon病毒变种加密后的后辍为.[buy-decryptor@pm.me]



Gorgon勒索病毒使用C#编写,同FilesLokcer一致,不同点为Gorgon病毒变种通过代码混淆企图对静态分析做对抗。


去混淆后观察可知FilesLocker1FilesLocker2,与Gorgon勒索变种代码高度一致.


Gorgon变种同FilesLocker2.0版本一样,使用RSA+AES的方式加密用户机器上常见的367种类型文件。


Gorgon病毒变种桌面壁纸存放地址相比较FilesLocker 相同,使用hxxps://iplogger.org/2vMGg5

Gorgon新增了Winlogon项修改,用于开机用户登录时展示勒索信息。

Gorgon勒索病毒新增在用户登录系统时展示勒索信息




Gorgon勒索病毒相比较于FilesLocker加密使用的RSA公钥也发生了变化,这也导致此前该病毒早期版本释放出的RSA私钥将不再适用于当前病毒版本的解密。

三、安全建议

企业用户:

1、 尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。


个人用户:

1、 开启电脑管家拦截病毒


2、 打开文档守护者功能

IOCs:

MD5

443670682e32a91777b1b0af2d09163d

14fceddd5bf4f9dce82e196659ef8448

最新资讯