产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文企业不幸遭遇DiskParasite勒索病毒,腾讯电脑管家可一键解密
2020-03-23 09:48:01
腾讯安全威胁情报中心接到用户求助,称内网有服务器不幸被勒索病毒加密,腾讯安全专家通过分析发现该企业服务器不幸遭遇新近出现的DiskParasite勒索病毒攻击,所幸腾讯安全专家分析发现该病毒的加密可以破解,受害用户可以免除被勒索之苦。
分析发现,DiskParasite病毒加密文件前,会通过磁盘信息来判断是否在虚拟机环境,如果是,就不加密。病毒会提取磁盘signature串信息,将其中的A-Z字符信息拼接后作为文件加密扩展后缀,将其中的0-9信息提取后作为密钥相关Personal_ID信息,基于其执行过程对磁盘信息的依赖性,我们将其命名为DiskParasite勒索病毒。目前,腾讯电脑管家已支持查杀拦截该病毒,腾讯电脑管家内置的文档守护者也可帮助用户解密受损文档。
一、分析
该病毒加密文件前,会检测以下注册表位置中的磁盘信息,当其中包含VMware,VBox相关信息时,则直接退出,不执行文件加密逻辑。
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Disk\\Enum
病毒加密文件前首先结束大量文件占用进程,随后对每个磁盘开始尝试创建一个线程进行文件加密。加密过程中,会避开部分系统敏感目录和类型文件,主要有以下部分:
结束进程列表:
|
isqlplussvc.exe |
|
xfssvccon.exe |
|
mydesktopservice.exe |
|
ocautoupds.exe |
|
encsvc.exe |
|
tbirdconfig.exe |
|
mydesktopqos.exe |
|
ocomm.exe |
|
dbeng50.exe |
|
sqbcoreservice.exe |
|
excel.exe |
|
infopath.exe |
|
msaccess.exe |
|
mspub.exe |
|
onenote.exe |
|
outlook.exe |
|
powerpnt.exe |
|
steam.exe |
|
thebat.exe |
|
thunderbird.exe |
|
visio.exe |
|
winword.exe |
|
wordpad.exe |
|
notepad.exe |
|
aupis80.exe |
|
avgnt.exe |
|
sql.exe |
|
oracle.exe |
|
ocssd.exe |
|
dbsnmp.exe |
|
synctime.exe |
|
agntsvc.exe |
病毒不加密的目录白名单:
|
Temp |
|
Microsoft |
|
boost |
|
Local |
|
temp |
|
AndroidSDK |
|
windows |
|
Windows |
|
C:/intel |
|
C:/nvidia |
|
C:/ProgramData |
|
|
|
boot |
|
C:/Program Files |
|
C:/Program Files (x86) |
|
System Volume Information |
|
Mozilla |
|
Tor Browser |
|
Explorer |
病毒不加密的文件类型白名单:
|
.dll |
.msc |
|
.adv |
.msp |
|
.ani |
.msstyles |
|
.big |
.msu |
|
.bat |
.nls |
|
.bin |
.nomedia |
|
.cab |
.ocx |
|
.cmd |
.prf |
|
.dcu |
.ps1 |
|
.com |
.rom |
|
.cpl |
.rtp |
|
.cur |
.scr |
|
.deskthemepack |
.shs |
|
.diagcab |
.spl |
|
.diagcfg |
.sys |
|
.diagpkg |
.theme |
|
.drv |
.themepack |
|
.exe |
.wpx |
|
.hlp |
.lock |
|
.icl |
.key |
|
.icns |
.hta |
|
.ics |
.msi |
|
.idx |
.hpp |
|
.ldf |
.etl |
|
.mod |
.layout |
|
.mpa |
.pck |
文件被加密添加随机扩展后缀(磁盘signature串英文部分)信息,如下图所示。
文件加密主要流程如下,分析发现该勒索病毒的加密可以解密:
1.获取磁盘signature串信息。
2.将磁盘signature串拆分,提取其中数字部分作为加密KEY初始化信息,字母部分作为文件加密后缀信息。
3.计算KEY初始化信息长度,算数右移1后记录其长度
4.将KEY初始化信息去除步骤3中的长度内容。
5.步骤4中剩余KEY初始信息算数右移1后取低8位作为KEY
6.对文件进行逐字节加密,ENDATA=KEY+原始字节 或 KEY+原始字节-0x100
同时留下名为-=CLICK_ME=--后缀的勒索说明文档,要求用户前往指定地址或暗网地址内够购买解密工具。
进入其提供站点内可知,勒索运营团队为其开发了聊天室议价功能。
尝试在聊天室内寻求帮助后,对方很快进行了回复,开出1495美金(约1万元人民币)的勒索价码,并要求使用比特币支付。
二、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议企业用户全网安装腾讯T-Sec终端安全管理系统防御病毒攻击(https://s.tencent.com/product/yd/index.html)。腾讯安全T-Sec终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
9.若企业用户不幸感染DiskParasite勒索病毒,可联系我们(邮箱3114282784@qq.com)索取解密文档守护者最新版本。文档守护者也会安排分批逐步升级到用户端,使所有用户均可解密该病毒破坏的文件。
个人用户:
1、切勿随意打开陌生邮件附件,强烈建议关闭Office执行宏代码;
2、启用腾讯电脑管家的实时防护功能拦截病毒。
3、建议开启腾讯电脑管家的文档守护者功能,文档守护者可以利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
手动清除方案:
删除注册表RUN启动DefenIfWIn项,以及注册表项所对应的文件:
IOCs
MD5:
aa1e3414f490ad8107a372f4e63d88c6
在线咨询
方案定制