谨防“神秘人”勒索病毒X_Mister偷袭

bambooslip

一、样本简介
近期，国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒，此勒索病毒的某些行为与Globelmposter类似，因联系邮箱中带有x_mister而被命名为X_Mister勒索病毒，该勒索病毒使用RSA+DES算法加密文件，自身不具备横向感染功能，通常由攻击者对目标进行RDP爆破后手动投放，或通过垃圾邮件传播，且加密完成后会进行自删除。深信服安全团队第一时间获取到相应的样本，并对样本进行了详细分析。
二、勒索病毒特征
1.勒索信息文本文件HOW TO BACK YOUR FILES.txt，如下所示：

2.加密后的文件名，[原文件名]+[Mr-X666]，如下所示：

三、详细分析1. 获取程序执行信息，并在内存中解密相应数据，如下所示：

2.进行提权操作，设置进行权限为SeBackupPrivilege、SeRestorePrivilege、SeSecurityPrivilege、SeManageVolumePrivilege，如下所示：
3.关闭windows defender的实时防护、行为监控等，如下所示：

4.设置为自启动项，实现开机自启动操作，如下所示：

5.遍历设定卷标盘符，如下所示：

6.遍历网络共享目录文件，如下所示：

7.遍历磁盘目录，如下所示：

8.创建线程遍历共享目录和磁盘目录下的文件，然后创建线程进行加密操作，如下所示：

9.生成隐藏文件.BFC0E91B00AE8A0620D3，写入相应的勒索相关信息，加密后缀、勒索文本文件名、勒索软件版本号等，如下所示：

10.生成勒索信息文本文件，如下所示：

11.加密文件操作，加密算法为RSA+DES，如下所示：

13.加密完成之后，删除自启动注册表项，如下所示：

14.执行删除磁盘卷影 、删除远程桌面连接信息 、删除日志信息等操作，如下所示：

15.进行自删除操作，如下所示：

四、 解决方案
针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。病毒防御深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：1、及时给电脑打补丁，修复漏洞。2、对重要的数据文件定期进行非本地备份。3、不要点击来源不明的邮件附件，不从不明网站下载软件。4、尽量关闭不必要的文件共享权限。5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。6、如果业务上无需使用RDP的，建议关闭RDP。最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。
如若转载，请注明原文地址： https://www.4hou.com/typ/17664.html

挥毫只为你

单词 which 写错了 正确应该是this is your personal ID which  you have to send in first letter.

大佬喝冰阔落

我们公司电脑昨晚上被感染了，所有晚上未关机的电脑都被感染了服务器生成了.BFC0E91B00AE8A0620D3等等异常文件，请问现在有没有什么解决办法

zgg2019

感谢楼主

kbvsfm

不错，学习了

inside

最近得小心点

xingjm

把代码这样直接贴出来是惯例吗？这样真的好吗

020lk

谢谢分享

dakjwx2014

感谢楼主

rain0218C

学习一下，感谢楼主！

day2up

太恶心了，现在都通过这种方式来挣钱了

awzh1980

谢谢提醒