-
-
[原创]警惕:疑似FilesLocker招募到代理,新勒索病毒自命名Gorgon(蛇发女妖)
-
发表于: 2019-2-20 15:17
-
一、概述
近日,腾讯安全御见威胁情报中心监测到,一款名为Gorgon的勒索病毒在国内感染多家政企机构。Gorgon为传说中的蛇发女妖,任何人看她一眼就会瞬间石化,Gorgon病毒在勒索界面的显著位置使用了蛇发女妖的图标。病毒作者似乎在暗示:只要中毒,你的系统就石化了。
这个名字也令安全研究人员十分警惕,Gorgon Group是一个被认为来自巴基斯坦的专业黑客组织,该组织的攻击目标包括英国、西班牙、俄罗斯、美国政界商界组织或人员。
不过,腾讯安全专家很快发现,本次捕获的勒索病毒虽起名Gorgon,但并未发现与Gorgon Group组织有任何关联。技术分析发现,这个Gorgon勒索病毒实为FilesLocker勒索病毒的换肤版本,Fileslocker勒索病毒最早出现于2018年10月,一出现就大量招募下级代理渠道,随后在国内开始持续传播感染,这个换肤后的Gorgon勒索病毒疑为某个下线渠道的轻微改动。
Fileslocker勒索病毒的详细分析可参考:《FilesLocker勒索病毒刚一出现,就迫不及待地发展下线》一文
二、分析
通过分析Gorgon勒索病毒可知,该病毒变种整体比较FilesLocker之前版本变化主要有以下几点:
1.勒索病毒UI的整体变化,同时支持中英韩三种语言(新增韩语);
2.释放桌面勒索提示文件由FilesLocker版本的txt变化为html,勒索说明更加详细;
3.攻击成功后替换桌面壁纸的改变;
4.FilesLocker桌面壁纸存放地址取消使用;
(hxxp://p2.so.qhmsg.com/t017dbe734425296aea.jpg)
5.新增Winlogon系统登录项添加,用于在开机登录界面展示勒索信息;
6.勒索扩展后缀由FilesLocker版本的.[FilesLocker@pm.me]改变为.[buy-decryptor@pm.me];
7.相比较FilesLocker版本代码增加混淆;
8.勒索加密使用到的RSA公钥改变,导致之前病毒作者释放出用于解密的RSA私钥也无法解密。
图1 FilesLocker 勒索病毒的勒索提示
图2 Gorgon勒索病毒的勒索提示
以上可见,除勒索框颜色由红变绿,FilesLocker与Gorgon勒索病毒勒索UI布局基本一致。
图3
图4
桌面留下的勒索说明文档由txt变化为html
勒索说明文档增加韩语版本,可看出中英勒索说明文件名与Gorgon变种基本一致。
图5 FilesLocker勒索病毒修改的桌面壁纸
图6 Gorgon勒索病毒修改的桌面壁纸
相比较FilesLocker来说更加简洁,只留下了英文版本的说明。
图7 FilesLocker勒索病毒加密后的文件后辍.[FilesLocker@pm.me]
图8 Gorgon病毒变种加密后的后辍为.[buy-decryptor@pm.me]
图9
Gorgon勒索病毒使用C#编写,同FilesLokcer一致,不同点为Gorgon病毒变种通过代码混淆企图对静态分析做对抗。
图10
去混淆后观察可知FilesLocker1,FilesLocker2,与Gorgon勒索变种代码高度一致.
图11
Gorgon变种同FilesLocker2.0版本一样,使用RSA+AES的方式加密用户机器上常见的367种类型文件。
图12
Gorgon病毒变种桌面壁纸存放地址相比较FilesLocker 相同,使用hxxps://iplogger.org/2vMGg5
Gorgon新增了Winlogon项修改,用于开机用户登录时展示勒索信息。
图13 Gorgon勒索病毒新增在用户登录系统时展示勒索信息
图14
图15
Gorgon勒索病毒相比较于FilesLocker加密使用的RSA公钥也发生了变化,这也导致此前该病毒早期版本释放出的RSA私钥将不再适用于当前病毒版本的解密。
三、安全建议
企业用户:
1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 对重要文件和数据(数据库等数据)进行定期非本地备份。
6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
图16
个人用户:
1、 使用腾讯电脑管家,实时拦截查杀此类病毒攻击。
2、 开启腾讯电脑管家中的文档守护者功能,实时备份电脑中的重要文件,以免造成不必要的损失。
IOCs:
MD5
443670682e32a91777b1b0af2d09163d
14fceddd5bf4f9dce82e196659ef8448
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
