金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于8087金沙娱场城 > 企业新闻

新闻与活动

8087金沙娱场城最新资讯与活动。

警惕!攻击ESXi平台的lockbit勒索病毒通告
发布时间 :2021年12月08日
类型 :勒索软件
分享:

事件描述




近日,8087金沙娱场城在日常威胁狩猎中截获了疑似针对ESXi平台的lockbit勒索病毒,其会加密虚拟机的相关文件,并且添加上lockbit后缀。在进一步分析中,我们发现此勒索病毒的整体运行流程和lockbit2.0相似,所有需要的字符串均需要经过异或运算后,解密再使用。8087金沙娱场城将此病毒命名为Ransom.Linux.LOCKBIT.YXBKH。目前8087金沙娱场城新版病毒码已经可以检测该勒索病毒,请用户及时升级病毒码版本。


紧急程度:★★★☆☆

影响平台:Linux  ESXi


攻击流程


 

微信图片_20211209152812.jpg



8087金沙娱场城产品解决方案



8087金沙娱场城病毒码版本17.233.60,云病毒码版本17.233.71,全球码版本17.233.00已经可以检测该勒索病毒,请用户及时升级病毒码版本。


攻击细节分析



我们从攻击者留下的痕迹来看,程序运行时带有参数:

1.jpg


调试后发现与lockbit有关的信息如下(LockBit Linux/ESXi locker V:1.1字样):

3.jpg


样本运行后会根据输入确定是否继续运行,进一步分析确定输入内容为test才会继续执行(类似于启动密码),同时不论输入是否为“test”,样本都会输出随机error用于迷惑分析人员, 所以一般情况下沙盒很难对这种文件进行自动化分析:


5.jpg

6.jpg


接下来样本检查后续将会使用到的文件情况:

7.jpg


样本获取一些硬件信息:

8.jpg

微信图片_20211209153512.png9.pngimage.png

接着,样本进行勒索前的准备,关闭虚拟机自启动的配置:

image.png

开启ssh连接配置:

image.png

然后,根据wid值关闭正在运行中的虚拟机。至此,准备工作完成。

image.png

调试过程中,我们发现了程序参数的help信息。主要内容如下:

image.png

样本会根据文件后缀加密,加密后缀名单由-e参数指定:

image.png


image.png

每个被加密的文件会进入单独的线程进行处理,最终会使用AES算法进行加密:

image.png

image.png

最后每个目录都会留下勒索信:

image.png


后续操作


10.jpg

擦除分区,阻止其他方式恢复文件(通过对未使用的空间清零实现擦除分区):

11.jpg


安全建议


 

√ 打全ESXi系统补丁程序;

√ 采用高强度的root密码,避免使用弱口令密码,并定期更换密码;

√ 尽量关闭不必要的端口;

√ 尽量关闭不必要的网络共享;

√ 请注意备份重要文档,备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

 

IOC


e09dae6d33cffd7f6f38b62b71c484e5b12b4b79



分享到微信
X