金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

【威胁直击】警惕!Thanos勒索病毒变种,可加密共享网络资源
发布时间 :2021年05月08日
分享:

近日,8087金沙娱场城网络实验室截获了Thanos勒索病毒最新变种,经过对该变种进行深入分析,研究人员发现此变种所有的函数均经过混淆,所有的字符串均经过base64加密。其运行后会删除卷影副本备份,加密共享网络资源,打开计算机远程权限,打开文件和打印机共享以及设置防火墙规则。在被攻击的机器中,研究人员还发现了黑客工具包,这些工具用来远程暂停客户机器上的安全软件并运行病毒。8087金沙娱场城将此勒索病毒命名为:Ransom.MSIL.THANOS.SM。



攻击流程



1.jpg



8087金沙娱场城产品解决方案


8087金沙娱场城病毒码版本16.697.60,云病毒码版本16.697.71,全球码版本16.697.00 已经可以检测,请用户及时升级病毒码版本;


8087金沙娱场城DDAN沙盒平台已经可以检测;



2.jpg



安全建议


  • 打开系统自动更新,并检测更新进行安装;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口;

  • 尽量关闭不必要的网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。



病毒详细分析


该样本中所有函数均作了混淆并带有反调试,为随机字符串。勒索软件的作者可以通过更改病毒配置来选择病毒执行的步骤,例如快速加密,删除卷影副本,更改服务等操作。



删除卷影副本:


3.jpg


4.jpg



删除C、D、E、F、G和H盘符的文件副本:



5.jpg

6.jpg



终止如下进程:


7.jpg


8.jpg



开启暂停服务,其中包括一些杀毒软件:


9.jpg

10.jpg



设置服务启动:


config Dnscache start= auto


config FDResPub start= auto


config SSDPSRV start= auto


config upnphost start= auto


config SQLTELEMETRY start= disabled


config SQLTELEMETRY$ECWDB2 start= disabled


config SQLWriter start= disabled


config SstpSvc start= disabled


 

11.jpg


设置文件夹权限:


12.jpg


 

获取机器信息:


13.jpg


病毒加入自启动目录:


14.jpg


遍历网络资源以及共享映射,勒索软件也会加密这些共享资源:


15.jpg

16.jpg



设置注册表键值,修改主机的注册表键值:LocalAccountTokenFilterPolicy 为1,使得机器能被远程管理。


17.jpg



字符串均被base64加密:


调用cmd.exe



18.jpg



解密两层base64运行cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin,删除回收站防止用户文件被找回。



19.jpg



Netsh设置防火墙:netsh advfirewall firewall set rule group=\"Network Discovery\" " new enable=Yes",使得自己能在共享列表中显示。



20.jpg


21.jpg



打开文件和打印机共享Netsh  advfirewall frewall set rule group="File and Printer Saring" new enable=Yes



22.jpg



遍历A~Z磁盘:


23.jpg



若遍历到相应盘符则获取磁盘类型,CDRom除外:



24.jpg



遍历网络连接:


25.jpg


遍历以下100个后缀文件并加密,为多线程加密:


26.jpg

27.jpg


28.jpg



加密后添加后缀.topunion:


29.jpg



快速加密模式和普通加密区别在于,每个文件仅一部分将被加密。启用此模式后,客户端会从文件中加密配置的数据量,并从文件的结尾处开始以加密的内容覆盖文件:


30.jpg



整个加密是AES加密,但AES加密的密钥会被RSA加密,RSAkeyvalue:


31.jpg


RSA加密AES key:


32.jpg



被RSA加密后的key会写入勒索信,每次加密的key都是随机的,而且使用的是secure string所以无法解密:


33.jpg




生成勒索信RESTORE_FILES_INFO.TXT,其内容被base64加密:


202111151636978169133051040.jpg

 

将文件上传至ftp:


35.jpg


上传的文件要符合以下后缀docx 、pdf 、xlsx 和csv:


36.jpg


IOC:

SHA1 

B637244EDB8D367ECE2615420B69FB1E10FEC8B9

分享到微信
X