近日,深信服安全团队跟踪到多起gandcrab勒索病毒最新变种感染事件。由于感染主机桌面屏幕会被设置成为深蓝色,深信服将该变种命名为gandcrab勒索deepblue变种。
该勒索变种使用rsa aes算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景。目前该勒索暂时无法解密,深信服提醒广大用户防范该勒索变种入侵感染。
病毒名称:gandcrab勒索deepblue变种
病毒性质:勒索病毒
影响范围:已有多省份用户受感染,包括但不限于政府、医药、教育等行业
危害等级:高危
传播方式:漏洞利用、rdp暴力破解等方式传播
病毒描述
gandcrab勒索deepblue变种在功能代码结构上与gandcrab非常相似,同时应用了多种反调试和混淆方式,且似乎还处于不断调试的阶段,变种使用rsa aes算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景(标题题目会变化),具体勒索特征如下:
▲勒索界面
并释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-how-to-decrypt.txt”。
▲勒索信息文件
入侵分析
gandcrab勒索deepblue变种入侵方式呈现多样化,截至目前收集到以下入侵手段(不排除将来有更多入侵手段):
-
利用confluence漏洞(cve-2019-3396)
-
rdp暴力破解
-
fckeditor编辑器漏洞
-
weblogic wls9-async反序列化远程命令执行漏洞
值得一提的是,该攻击者(团伙)近期活跃频繁,且惯用手法是利用多种可能存在漏洞传播勒索病毒来入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。
病毒详细分析
1.样本母体使用多种加密操作。解密出第一层payload代码,再解密出勒索核心payload代码,如下所示:
2.提升进程权限。
3.内存中解密出勒索信息文本,生成随机勒索信息文本文件名:[随机数字字符串] [-readme.txt]:
4.遍历进程,结束mysql.exe进程。
5.通过cmd.exe执行相应的命令,删除磁盘卷影,如下所示:
6.遍历磁盘文件目录、共享文件目录以及磁盘文件,然后使用rsa aes算法进行文件加密,如下所示:
7.生成勒索信息桌面图片,更改桌面背景图片。
8.从内存中解密出来的域名列表中,选取一个域名进行url拼接,然后向url发送相应的数据。
凯发登录的解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
32位系统下载链接:
2、深信服edr产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
病毒防御
1、及时给电脑打补丁,修补漏洞,修改弱密码。
2、对重要的数据文件定期进行非本地备份。
3、有confluence应用的用户,需升级confluence版本,并主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。其中版本升级为:
版本6.6.12及更高版本的6.6.x
版本6.12.3及更高版本的6.12.x
版本6.13.3及更高版本的6.13.x
版本6.14.2及更高版本
4、有weblogic应用的用户,请参考 修复相关漏洞。
5、深信服下一代防火墙用户,建议升级到af805版本,并开启深信服save安全智能检测引擎,以达到最好的防御效果。
6、深信服edr用户,建议升级到3.2.8以上版本,病毒库升级到20190507版本,以达到最好的防御效果。
7、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 下一代防火墙 edr,对内网进行感知、查杀和防护。