产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
Rapid变种再袭,不仅加密不可修复,还随机修改文件名
2019-11-29 03:27:19
一、概述
腾讯安全御见威胁情报中心检测到,Rapid勒索病毒变种在国内开始再度活跃,该病毒首次出现于2017年,由于早期该病毒加密文件后缀为Rapid,因此得名。自该病毒出现起,该病毒每年都会给一些国内企业造成不可逆转的加密破坏。
Rapid勒索病毒在国内主要通过弱口令爆破方式传播,本次检测到国内变种加密文件完成后,会对其文件添加扩展后缀.cryptolocker,同时,病毒还会将原始文件名进行10字符随机修改,导致被攻击者无法识别被加密文件。相比较于老版本病毒版本,除部分环境判断变化外,勒索方式也进行了改进,由早期邮箱沟通方式更改为使用TOR浏览器访问暗网交易解密工具的模式。由于该变种病毒暂无有效的解密工具,因此,我们提醒各政企机构提高警惕。
二、分析
病毒运行前首先结束大量服务防止文件占用,同时尝试结束部分安全软件相关进程。
MsMpEng.exe(Windows Defender )
Ntrtscan.exe(趋势)
Avp.exe(卡巴斯基)
WRSA.exe(WebRoot)
Egui.exe(NOD32)
AvastUI.exe(avast)
加密前同样会结束大量数据占用类进程,与老版本Rapid对比序列一致,无太大变化:
病毒运行后将自身设置为计划任务,每隔1分钟运行一次,这也导致在病毒未清理完成前,可能导致系统内新文件被再次加密,同时将自身设置为的注册表run启动(HelloAV)。
病毒加密前先导入硬编码RSA公钥,该密钥使用Base64编码存放,使用前先对其进行解码
随后会生成用户RSA密钥对,将其存储在注册表
(HKEY_CURRENT_USER\Software\EncryptKeys)中,私钥被硬编码的RSA公钥加密,该注册表信息存放路径也与老版本Rapid一致
加密前会避开以下文件,主要为rapid病毒自身使用文件和部分系统文件
文件加密时会对每一个文件生成单独的AES密钥,AES密钥信息将会使用local_public_key进行加密
文件被加密后被修改为以下格式:10字符随机名.cryptolocker,而原始文件名同被加密的AES密钥信息,local_enc_private_key信息一同放置到文件末尾。
留下名为!DECRYPT_FILES.txt的勒索说明信息,要求用户使用Tor浏览器登录暗网进行解密交易流程。区别于老版本病毒使用邮件方式沟通,通过使用暗网进行自动化交易的模式也更加完善。
老版本病毒使用勒索信
新版本病毒使用勒索信
三、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
MD5:
0957e81940af57c778c863cd7340191f
在线咨询
方案定制