产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文多款勒索病毒借RDP爆破攻击传播,政企单位须高度警惕
2020-03-06 05:59:41
一、概述
近日,腾讯安全威胁情报中心接收到多起勒索病毒反馈,经排查,攻击者均为通过弱口令爆破方式入侵,最终在被攻击机器内投毒。由于部分被攻陷企业内网多台机器使用同一口令,一度导致局域网内多台重要系统被病毒加密。现在正值全民抗疫的关键阶段,很多政企机构采用远程办公,黑客利用RDP弱密码爆破攻击传播勒索病毒的行为,给政企单位的网络安全构成严重威胁。
回顾近期这些活跃的利用爆破弱口令攻击的勒索病毒家族,主要包括GlobeImposter-HAPPY*CHOOSE系列,Crysis-海盗系列,Medusalocker-ReadInstructions系列,GarrantyDecrypt-马王系列。为防止全民抗疫期间,各企业远程办公遭遇勒索病毒趁火打劫,我们提醒各政企机构网管提高警惕,严防勒索病毒通过爆破弱口令的方式入侵。
1.GlobeImposter-HAPPY*CHOOSE系列
MD5:926f2f03e9eb01dc9fe65ab49ced96fe
GlobeImposter-HAPPY*CHOOSE系列主要变化为,会修改后缀作为HAPPY*CHOOSE格式,勒索信不再使用此前使用的exe弹窗格式,猜测此项变动原因为exe格式更容易被安全软件拦截查杀,导致用户侧无法直观看到勒索信,致使勒索流程共同困难,故改为使用了新样式的名为Decryption Info.html的勒索说明文档。
参考资料:
《GlobeImposter攻破某域控制器,局域网内横向扩散致企业损失惨重》
网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:
清理注册表以下位置数据及其对应路径下文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck
2.Crysis-海盗系列
MD5:13444cbb9e0942fd7f7adb39dba72e54
Crysis弃用了其使用多时的老版本勒索弹窗,改为使用海盗骷髅弹窗信件,勒索方式依然为使用指定邮箱,该病毒攻击者通常使用多种密码抓取工具,攻击成功后持续在内网进行爆破攻击扩散感染。
参考资料:
网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:
清除启动目录中的可疑文件,通常名为payload.exe,Info.hta,
同时排查清理AppData\Roaming目录下的可疑文件。
3.Medusalocker-ReadInstructions系列
MD5:ccc6290a1caad9dd709067acfd2bdfc6
Medusalocker勒索病毒加密文件完成后会添加.ReadInstructions扩展后缀,同时留下名为Recovery_Instructions.html扩展后缀,该病毒会创建定时任务,每15分钟执行一次,发现感染该勒索病毒后,在未清理干净病毒情况下,不建议使用移动存储介质对文件进行拷贝,否则可能会致使移动盘内数据同时被加密。
参考资料:
《警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币》
网管可使用腾讯电脑管家或腾讯安全T-Sec终端安全管理系统(腾讯御点)查杀病毒,也可参考以下步骤手动清除:
清除计划任务svhost启动项,以及Roaming目录下的svhost.exe
4.GarrantyDecrypt-马王系列
MD5:337cdd6d89e93362c8223fb8810dec2c
GarrantyDecrypt-马王系列较以前版本勒索说明信有些许变动,同时会释放到appdata目录中名为_uninstalling_.png图作勒索壁纸,壁纸显示群马奔腾图,加密文件扩展后缀为.horseleader,该病毒在完成目标文件加密流程后,会执行自删除操作,故染毒环境中通常没有病毒母体。
参考资料:
二、攻击分析
观察众多遭勒索病毒攻击企业,排查后多为被攻击者通过RDP爆破方式后远程投毒,同时攻击者通常还试图以被攻击机器为跳板机,在内网持续渗透以扩大战果。例如下图中机器被攻击沦陷时间为2020.2.25约6时,于6:44时机器内被投递勒索病毒,系统数据遭受病毒加密。
查看系统日志,可知系统在2020.2.24日已经开始遭受到大量弱口令爆破攻击,爆破过程长达数十个小时,最终机器被攻陷。
排查机器内环境,同时还在机器内检出了攻击者使用的密码抓取工具,内网扫描嗅探工具,攻击者企图使用mimikztz抓取本地机器登录口令后尝试继续对局域网内其它机器进行爆破攻击。而在多数情况下,攻击者也并不局限于使用一种密码抓取工具,以往我们观察到的勒索现场,攻击者就使用了数十款密码抓取工具(包括mimikztz本地口令抓取,各主流类浏览器密码抓取,邮箱密码抓取,RDP,VNC登录口令抓取等工具),这也极大提高了其内网再次发起攻击的成功率。
参考资料:
《Geerban勒索病毒正在爆破传播,还用了数十款密码抓取工具》
三、安全建议
目前正值全民抗疫的关键时期,网络黑产趁火打劫,会给相关单位造成严重影响,腾讯安全专家建议相关企业参考以下方案加固信息系统,避免遭遇勒索病毒攻击。
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议企业用户全网安装腾讯T-Sec终端安全管理系统防御病毒攻击(https://s.tencent.com/product/yd/index.html)。腾讯安全T-Sec终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、切勿随意打开陌生邮件附件,强烈建议关闭Office执行宏代码;
2、启用腾讯电脑管家的实时防护功能拦截病毒。
3、打开腾讯电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患
IOCs
MD5:
926f2f03e9eb01dc9fe65ab49ced96fe
13444cbb9e0942fd7f7adb39dba72e54
ccc6290a1caad9dd709067acfd2bdfc6
337cdd6d89e93362c8223fb8810dec2c
在线咨询
方案定制