ERIS勒索病毒变种来袭,被加密的文件暂无法解密

2019-08-08 18:25:20
腾讯安全御见威胁情报中心监测到,ERIS勒索病毒变种在国内有部分感染。ERIS勒索病毒变种使用go语言编写,加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币(市值约4000元人民币)。由于该病毒使用RSA+Salsa20对文件进行加密,被加密后的文件暂时无法解密。

一、概述

腾讯安全御见威胁情报中心监测到,ERIS勒索病毒变种在国内有部分感染。ERIS勒索变种使用go语言编写,加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币(市值约4000元人民币)。由于该病毒使用RSA+Salsa20对文件进行加密,被加密后的文件暂时无法解密。

ERIS勒索病毒为防止用户利用反删除工具恢复文件,该病毒会调用磁盘擦除工具cipher.exe将病毒完成数据加密后删除的原文件彻底破坏,使用户恢复数据的最后希望彻底破灭,我们提醒政企机构高度警惕,腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病毒。

ERIS勒索病毒首次出现于20195月,该勒索家族病毒擅长通过垃圾邮件,LordEK漏洞利用工具传播。该病毒早期加密文件完成后会添加ERIS扩展后缀,ERIS勒索病毒也因此得名。

ERIS勒索病毒加密时会检查并结束SQLApache等系统进程;删除系统卷影信息,并禁止Windows进入恢复模式;病毒加密文件时会排除部分文件、文件类型及目录不加密,以免加密时造成系统崩溃。

二、分析

病毒运行后首先会获取本地机器环境信息,包含GUID哈希信息,内存信息,随机生成的5字节加密扩展后缀,系统版本,用户名,地域信息等。


将感染信息上传到指定的接口服务

上传ip地址:198.251.80.48

Post-Url地址:

Hxxp://evilnnwzczbcbi4edpi4tx3khwbnty3obfhemd5i5gbyci3hxx3k5pad.onion.pet/api/v1/check

病毒运行后首先会生成一对RSA密钥,私钥Base64编码后同获取的本地机器环境信息进行json格式化,格式化后的json信息则使用随机生成密钥的RC4算法加密,RC4密钥被硬编码的RSA公钥进行加密


将获取到的本地机器信息和Base64编码的私钥信息json格式化


硬编码RSA公钥


病毒运行后会在ProgramData目录生成3个文件,00000000.pky中保存了本地生成的RSA公钥信息,00000000.eky中包含了RC4加密后的json格式化信息+被硬编码RSA公钥加密后的RC4密钥信息,00000000.ext文件为生成的随机后缀信息



文件加密前会遍历当前系统进程,包含以下关键词则将其结束

sqlbackupmalwareserverhttpapacheagent



调用CMD执行以下命令行强制结束指定进程,删除系统卷影信息,并禁止Windows进入恢复模式

taskkill.exe /f /im mysqld.exe

taskkill.exe /f /im sqlwriter.exe

taskkill.exe /f /im sqlserver.exe

taskkill.exe /f /im MSExchange

taskkill.exe /f /im Microsoft.Exchange

vssadmin delete shadows /all /quiet

wmic shadowcopy delete

wbadmin delete catalog -quiet

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no


加密过滤以下白名单文件

autoexec.batboot.inintdetect.commsdos.sysio.syspagefile.sysntldrconfig.sysntuser.dat

白名单目录

windowsprogram files


加密时过滤.com.sys扩展后缀


加密文件时,会判断文件加密标识(被加密文件末尾被追加字串“_FLAG_ENCRYPTED_”),当文件未被加密,则对每个文件生成单独的salsa20密钥对文件进行加密,文件加密密钥信息则使用0000000.pky内的RSA公钥加密后存放于被加密文件尾部,由于对应的RSA私钥被加密后存放于文件00000000.eky中无法解密,故不缴纳赎金情况被加密文件无法解密恢复



加密文件结束后调用cipher.exe进行磁盘擦除清理,此操作将导致被删除覆盖的文件即使通过文件恢复工具也无法找回。


磁盘清理结束后,执行自删除流程


文件被加密后添加随机5字节加密扩展后缀


病毒留下名为HELP-随机5字节.txt的勒索说明文件,勒索信要求到指定地址使用比特币进行解密工具购买


按照勒索信指引尝试购买解密工具,可知该病毒当前勒索0.05 BTC,价值约4000RMB左右,相比较起高赎金额度的Ryuk勒索(赎金通常高达数十万),此类额度的勒索病毒更加容易泛滥,且该病毒解密工具购买页面提示,如果一个月内不支付赎金,文件将永远无法恢复。



三、安全建议

企业用户:

1、尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。


8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

Md5:

8fed8fb87e4b0ff0a8581edd9cddd2d7

a4eeec442799c56c3e1aa9761661fb42

最新资讯