警惕! ImmortalLock(不死锁)勒索病毒锁死企业系统

2019-03-29 17:27:57
腾讯安全应急响应中心接到企业求助,因内网感染勒索病毒而导致业务系统瘫痪停摆。经腾讯安全专家现场勘察分析发现,破坏网络的为新型勒索病毒,编译时间为2019年3月中旬。根据病毒留下的勒索说明信息,作者自称“ImmortalLock(不死锁)”勒索病毒。

近日,腾讯安全应急响应中心接到企业求助,因内网感染勒索病毒而导致业务系统瘫痪停摆。经腾讯安全专家现场勘察分析发现,破坏网络的为新型勒索病毒,编译时间为20193月中旬。根据病毒留下的勒索说明信息,作者自称“ImmortalLock(不死锁)”勒索病毒。

某企业中招反馈


病毒编译时间戳为3月中旬

进一步分析发现,该病毒从代码相似度上疑为Scarab变种,而病毒加密后缀白名单单独过滤.hrm的行为,推测与HRM勒索病毒家族存在某种关联,由于病毒使用了RSA+AES的加密方式,暂时没有解密方案。建议各政企机构提高警惕,防止受到病毒攻击。

ImmortalLock(不死锁)勒索病毒在加密过程中,会尝试结束其他正在运行的程序进程,以免这些软件占用那些即将被加密的文件。病毒作者疑似来源于俄语国家,该病毒的加密破坏会避开俄罗斯、白俄罗斯、乌克兰等国,病毒还会加密局域网中具有写权限的共享文件。

腾讯电脑管家及腾讯御点终端安全管理系统均可查杀,腾讯安全专家建议用户时刻开启杀毒软件的保护功能,避免企业网络成为勒索病毒的牺牲品。

电脑管家拦截到ImmortalLock(不死锁)勒索病毒

病毒分析

    ImmortalLock(不死锁)病毒使用C++(外壳)结合Delphipayload)开发,运行后通过在内存中解密出勒索payload执行,加密文件过程会创建线程不断尝试结束任务管理类,安全软件类,命令管理类,游戏类,数据管理类等大量进程。病毒作者疑似俄语系,加密会避开0x7(俄罗斯),0x177(白俄罗斯),0x17C(乌克兰),加密时对白名单后缀.hrm单独放行,加密文件完成对文件添加.IMRTL的扩展后缀,并留下名为HOW TO RECOVER ENCRYPTED FILES.TXT的勒索说明文档。

该病毒通过在内存中动态解密出勒索payload执行

观察payload可知使用Delphi7编写,而外壳程序使用C++

分析payload可知,该病毒所用到的字符串均在内存中动态解密使用。病毒会首先在内存中解密出勒索说明文档信息,加密后缀等信息,以备后续使用

随后获取本地系统 LOCALE_ICOUNTRY (国家代号),避开0x7(俄罗斯),0x177(白俄罗斯),0x17C(乌克兰)

拷贝自身副本到Roaming目录,且命令行调用mshta创建一个名为jsyuYuqSLK的启动项

病毒创建线程尝试循环结束大量进程,通过内部解密出的进程列表可知其中包含了任务管理类,安全软件类,命令管理类,游戏类,数据管理类等。

而此时当用户感觉到病毒加密文件带来的机器卡顿异常,尝试操作打开任务管理器时,任务管理器也会被结束马上退出。

taskmgr.exe--ccleaner.exe--ccleaner64.exe--regedit.exe--anvir.exe--anvir64.exe--cscript.exe--wscript.exe--powershell.exe--procexp.exe--far.exe--agntsvc.exe--agntsvc.exeagntsvc.exe--agntsvc.exeencsvc.exe--agntsvc.exeisqlplussvc.exe--dbeng50.exe--dbsnmp.exe--excel.exe--firefoxconfig.exe--infopath.exe--isqlplussvc.exe--msaccess.exe--msftesql.exe--mspub.exe--mydesktopqos.exe--mydesktopservice.exe--mysqld.exe--mysqld-nt.exe--mysqld-opt.exe--ncsvc.exe--ocautoupds.exe--ocomm.exe--ocssd.exe--onenote.exe--oracle.exe--outlook.exe--powerpnt.exe--sqbcoreservice.exe--sqlagent.exe--sqlbrowser.exe--sqlserver.exe--sqlservr.exe--sqlwriter.exe--steam.exe--synctime.exe--tbirdconfig.exe--thebat.exe--thebat64.exe--thunderbird.exe--visio.exe--winword.exe--wordpad.exe--xfssvccon.exe

文件加密时,会使用随机生成的0x10字节数据作为初始化异或加密Key,先使用异或加密0x10文件大小后,再使用AES对数据进行二次加密。最终加密后文件内容将再次作为下一轮加密时的异或Key循环执行。

文件加密密钥信息使用RSA算法加密后附加到文件末尾,最终修改文件时间戳属性等信息完成加密过程

文件末尾保存加密后的附加数据

该病毒同样会加密局域网内共享资源

运行结束后调用mshta自删除

分析过程中,发现该病毒后缀白名单过滤除自身加密扩展后缀外,仅放行.hrm后缀(HRM勒索病毒加密文件的后辍),这一点异常奇怪。HRM勒索病毒也是一个老牌勒索家族,首次出现于2017年,加密文件使用扩展后缀.hrm。而分析该病毒部分行为,使用字符串,从代码相似度上看更像是Scarab变种。

推测HRMScarabImmortalLock这三个勒索病毒之间或存在某种关联。

可参考:HRM勒索病毒预警 企业用户须小心钓鱼邮件和RDP爆破攻击

https://mp.weixin.qq.com/s/_KJZx7gZKA6JZSv8jiHJLg

测试该病毒会尝试加密系统中常见的各类型后缀(非病毒使用)和非Windows目录下文件,加密完成后添加扩展后缀为:IMRTL,中毒电脑上不光用户数据文件被加密,除Windows目录之外的软件几乎都无法运行,表明该病毒的破坏性更强。

勒索说明文档并无直接要求说明勒索赎金金额,需要进一步邮箱联系获取解密方案。

IOCs

MD5:

5f2be407aa30285784f35af8cf54c151

安全建议

企业用户:

1、 尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、 开启腾讯电脑管家,拦截可能的病毒攻击;

2、 打开文档守护者功能,利用磁盘冗余空间备份数据,万一遭遇病毒破坏,尚有机会完全恢复文档。

参考资料:

小心image字眼照片压缩包有“毒”

https://guanjia.qq.com/news/n3/2221.html

HRM勒索病毒预警 企业用户须小心钓鱼邮件和RDP爆破攻击

https://mp.weixin.qq.com/s/_KJZx7gZKA6JZSv8jiHJLg

最新资讯