产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
JSWorm 勒索病毒变种传入 该勒索病毒的破坏可以解密
2019-05-24 07:49:10
一、概述
近日,腾讯御见威胁情报中心监测发现,JSWorm勒索病毒JURASIK变种已在国内传播。除个别文件夹、文件类型被排除加密外,所有其他文件都会被加密后添加.JURASIK的扩展名。幸运的是,被JSWorm勒索病毒加密的文件可以解密恢复。腾讯电脑管家及腾讯御点终端管理系统均可查杀该勒索病毒。
JSWorm勒索病毒首次出现于2019年1月,目前已知通过垃圾邮件传播。分析国内变种病毒时间戳信息可知编译时间为2019年5月15日。
病毒加密操作时,会首先结束大量数据库相关服务、进程,避免加密操作无法进行。病毒还会删除磁盘卷影副本,防止用户恢复文件。腾讯安全专家分析该病毒的加密行为,发现被该病毒破坏的数据可以解密恢复。国外也有安全人员也在2019.5.21发布了对应版本的解密工具(针对国内传播病毒版本使用上需要手动修改勒索信)。万一中招发现被加密的文件被修改为. JURASIK的扩展名,可以参考本文档的内容进行恢复。
二、详细分析
病毒运行后会获取C盘序列号,当前用户名,机器mac信息作为文件加密Key
对获取到的本地信息(磁盘卷序列号-mac-用户名)与硬编码字串KCQKCQKCQKCQ进行相应的异或处理后
再次使用BASE64编码,最终作为勒索信中的PUBLIC字段中的ID信息
病毒使用了BlowFish算法对进行文件加密,病毒加密会判断文件大小,加密判断文件大小,小于0x1000000(16MB)全部加密,否则只加密0x1000000(前16MB)部分。
病毒运行后会停止大量的数据库相关服务
同时结束大量的数据库相关进程
删除系统卷影,禁用自动修复功能
清除系统日志信息,禁用日志功能,试图让病毒的破坏被隐藏。
采用硬编磁盘编号尝试加密A盘到Z盘的所有文件
病毒加密文件采取了白名单机制,会避开以下部分敏感字段:
白名单目录:
windows recovery perflogs ntuser
白名单后缀:
JSWorm exe EXE dll DLL cab CAB
白名单关键字:
DECRYPT.TXT
加密文件完成后将文件名修改为以下格式:原始文件名.[ID-磁盘卷序列号][勒索联系邮箱].JURASIK
最终留下名为JURASIK-DECRYPT.TXT的勒索说明文档,文档名风格与GandCrab相似
三、文件解密
分析病毒行为可知,被该病毒加密的文件可以解密,编写测试程序验证可解密成功
国外有安全研究人员发布了解密工具,但针对国内传播病毒变种,需要一些手动修改操作,再完成文件解密。可参考如下步骤操作:
解密工具下载地址:https://www.emsisoft.com/decrypter/download/jsworm-20
1.手动将勒索信(JURASIK-DECRYPT.TXT)中的Public标签统一修改为-------BEGIN JSWORM PUBLIC KEY-------
2.再使用下载的解密工具,点击Browse按钮,选择修改后的勒索信文件
3.点击start开始解密
四、安全建议
企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、 使用腾讯电脑管家,实时防护电脑免受病毒木马攻击
2、 打开文档守护者功能,利用磁盘冗余空间自动备份数据文件,万一遭遇病毒攻击,也有机会完全恢复文件。
IOCs
Md5:
bd27cea74f6fe7c64c19388fb2f38e9b
在线咨询
方案定制