Mr.Dec勒索病毒最新变种出现 被加密的文件无法解密

2019-04-19 14:34:15
腾讯安全御见威胁情报中心监测发现,勒索病毒Mr.Dec家族最新变种已出现。由于该病毒使用RSA+AES的加密方式,暂时不能解密,腾讯安全专家提醒各政企机构提高警惕加以防范。腾讯御点终端安全管理系统及腾讯电脑管家均可查杀Mr.Dec勒索病毒。

一、概述

腾讯安全御见威胁情报中心监测发现,勒索病毒Mr.Dec家族最新变种出现。由于该病毒使用RSA+AES的加密方式,暂时不能解密,腾讯安全专家提醒各政企机构提高警惕加以防范。

Mr.Dec家族勒索病毒由国外安全研究人员首先发现,该勒索病毒最早出现于20189月,主要通过垃圾邮件传播。被Mr.Dec勒索病毒加密后,文件名被修改为(原始文件名.[ID]随机16字符[ID]),病毒破坏完成,会在桌面全屏展示勒索信息,限受害者在指定的时间内邮件联系支付酬金,过期则不予解密。

Mr.Dec勒索病毒具有以下技术特点:

1.病毒将生成的RSA公钥信息直接写入注册表,私钥信息加密后存放到注册表中;

2.病毒加密文件时为防止其他应用锁定文件,会将占用文件的进程结束(仅常用系统进程除外);

3.病毒会删除卷影信息,避免用户利用卷影信息还原受损文件;

4.除加密本地文件,该病毒也加密局域网共享资源的文件;

5.Windows 目录和勒索信息文本外,其他文件均会被加密。

腾讯御点终端安全管理系统及腾讯电脑管家均可查杀Mr.Dec勒索病毒。

二、分析

该病毒代码入口包含2处异常,目的为对静态分析进行干扰和动态调试F8进行干扰:

异常一:sub_401063功能为解密一段数据,而该函数中调用CryptImportKey仅压栈一个参数。查看外层调用可知,其实在执行(401032call 4010063)前入栈4个参数,同时借助call指令把(addr401037)地址入栈,该地址原本做为call 4010063函数的返回地址,在此处却刚好作为CryptImportKeyKeyData信息(0x2C字节的密钥)。

异常二:(401025mov  dword ptr [eax+10h], offset sub_4017A2),此处代码直接覆盖start外层调用返回地址,从而实现执行完毕 sub_401063解密代码后正常应该退出的流程变为自动跳转到sub_4017A2恶意代码处执行。

动态解密出后续病毒使用字串,其中包含加密扩展后缀信息([ID]zzzzzzzzzzzzzzzz[ID]),硬编码的RSA公钥等信息。



初始化RSA密钥信息,病毒会直接生成一对RSA密钥,公钥信息直接写入注册表,私钥信息加密后存放到注册表中。


随后提升进程权限


并尝试结束大量进程


与以往勒索病毒不同的是,该病毒进程结束采用白名单机制,会排除以下系统白名单进程


设置启动信息,主要为启动勒索提示信息和病毒本身


命令行删除卷影信息


对局域网共享资源和不同磁盘分别创建线程加密


加密时判断白名单关键词放行,白名单关键词:[ID]windowsDecoding Help.hta


对每个文件单独生成AES密钥进行加密,并将密钥加密后追加到文件末尾


文件被加密修改为(原始文件名.[ID]随机16字符[ID])格式


最终执行Decoding Help.hta全屏覆盖展示勒索信息


三、安全建议

目前发现的勒索病毒感染大多同时伴有黑客入侵攻击事件,勒索病毒可能利用任何可能的途径在内网中传播扩散。腾讯安全专家建议政企机构从多个方面考虑,采取综合措施,强化系统安全。

企业用户:

1、尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。


个人用户:

1.使用腾讯电脑管家,开启实时防护


2.打开腾讯电脑管家的文档守护者功能,利用磁盘冗余空间备份数据,在遭遇病毒攻击时,也能有备无患。

IOCs

MD5

6e70810f1efcc178f6730a8d78cc1493


最新资讯