漏洞综述
漏洞描述
近日,新华三攻防团队捕获到了一款新型勒索病毒软件,经分析为Major家族样本。样本运行后,除了几个重要系统目录外,几乎所有文件都被加密。同时样本采用对称加密与非对称加密结合的方式,导致加密文件无法解密,对用户影响巨大。
样本分析1.样本运行后,首先利用系统信息生成用户唯一ID。
2.获取操作系统信息以及用户名。
3.为避免多个程序运行,尝试打开互斥量,参数为生成的用户ID,若失败则创建该互斥量。
4.通过注册表判断系统是否已经被感染过。
5.向服务器发送开始信号以及收集的用户信息,并尝试下载配置文件,从中获取RSA公钥。
6.如获取公钥失败,则采用样本内置公钥,并将公钥写入注册表。
7.删除系统备份,并将自身添加到注册表启动项中。
8.将自身窗口隐藏,获取要加密的磁盘,并枚举网络资源,获取可加密的共享文件夹。
9.设置自身进程优先级为高。
10.遍历磁盘,在每个加密目录下释放勒索信息。
跳过加密的文件夹如下:
11.对特定类型文件进行加密,加密的文件类型(部分)如下:
12.加密前先通过随机数与内置字符串拼接成位初始密钥。
13.对初始密钥进行处理,生成最终密钥。
14.之后对文件进行加密,加密算法为异或加密。
15.文件加密完成后,利用RSA公钥对初始密钥进行加密,并将加密后的密文添加到文件末尾。
16.向服务器发送加密完成的信息。
17.读取资源,释放背景图片,并设置桌面背景。
18.加密后的桌面背景:
19.文件加密后,文件名变为原始文件名+用户唯一ID+病毒作者邮箱+“.mars”的格式。
安全建议
1、及时备份重要文件,且文件备份应与主机隔离;
2、不要点击来源不明的邮件以及附件;
3、及时升级系统、及时安装系统补丁;
4、关闭不必要的共享权限以及端口,如:、、、等;
5、更改账户密码,设置强密码(采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长),避免使用同一密码;
6、新华三最新病毒库(V7-AV-1.0.72)已经支持该病毒及其变种的检测和防御,请随时
转载请注明:http://www.wangguoqiangq.com/sglbwh/7553.html
