news

/ 2019-01-19

近日,深信服安全团队在国内跟踪发现了一种新型的病毒变种,确认为matrix勒索病毒prcp变种。该变种主要通过rdp爆破进行传播,会扫描局域网内主机,并加密局域网共享目录文件夹下的文件。

该勒索变种采用rsa aes高强度加密算法,将系统中的大部分文档文件加密为prcp后缀名的文件,然后对用户进行勒索。目前该变种无法解密,深信服提醒广大用户警惕,防止感染。

病毒名称:matrix勒索病毒prcp变种

病毒性质:勒索病毒

影响范围:国内政企单位已有感染案例

危害等级:高危

传播方式:rdp爆破进行传播

样本分析

matrix勒索病毒prcp变种整体比较复杂,样本功能可以简化如下:

该病毒变种使用delphi语言进行编写,相关数据加密会存储到程序资源目录中。为了保证运行唯一,病毒运行后,会先尝试打开互斥变量mutexprcp,如果打开失败,则创建互斥变量。

  • 获取信息,上传c2服务器:

该病毒变种会获取当前操作系统的语言版本、主机名和用户名等信息,在内存中拼接相应的字符串:

在内存中解密出远程服务器地址,如下所示:

发送相应的主机信息,到远程服务器地址prcp.mygoodsday.org,进行记录,如下所示:

扫描磁盘信息,并打印到输出窗口,然后将磁盘信息,再一次上传到远程服务器。

  • 生成key,删除系统备份:

matrix勒索病毒prcp变种会通过内置的rsa公钥生成相应的key,如下所示:

接着,会生成bat文件,删除磁盘卷影等操作,使用户无法通过系统备份恢复数据,如下所示:

生成上面bat脚本调用的vbs脚本:

  • 扫描探测内网,加密网络共享:

为了对内网最大程度的造成破坏,该变种会生成随机命名的备份文件,然后通过参数启动,对内网进行探测,如下所示:

内网共享目录文件扫描过程,如下所示:

生成随机的bat文件,如下所示:

调用释放的nthandler程序,对当前主机进行扫描:

  • 加密本地文件,生成勒索信息:

最后,该变种病毒会遍历本地磁盘文件,加密磁盘文件,加密后的文件后缀为.prcp。

磁盘文件加密完成后,会在本地生成相应的勒索信息文件#readme_prcp#.rtf,相应的内容如下所示:

凯发登录的解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀:

1.   深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。http://edr.sangfor.com.cn/tool/sfabantibot.zip

2.   深信服edr产品及防火墙安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

病毒防御:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用rdp的,建议关闭rdp。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(edr)的微隔离功能对3389等端口进行封堵,防止扩散!

7、深信服下一代防火墙、终端检测响应平台(edr)均有防爆破功能,下一代防火墙开启此功能并启用11080051、11080027、11080016规则,edr开启防爆破功能可进行防御。

8、深信服下一代防火墙客户,建议升级到af805版本,并开启save安全智能检测引擎,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知平台 下一代防火墙 edr,对内网进行感知、查杀和防护。

咨询与服务


您可以通过以下方式联系凯发注册网站,获取关于matrix的免费咨询及支持服务:

1)拨打电话400-630-6430转6号线(已开通勒索软件专线)

2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询

3)pc端访问深信服区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询



  • / 2020-01-06
  • / 2020-01-06
  • / 2020-01-06

©2000-2020    深信服科技股份有限公司    凯发注册网站的版权所有   

"));
网站地图