安全研究 >> 安全研究详情

【预警】具有超高可配置性的Zeppelin勒索病毒来袭!!!

作者: 美创科技安全实验室发布日期: 12月30日


01

概    况

2019年马上结束了,然而勒索病毒攻击却更加频繁,全球似乎每天都有勒索病毒攻击的新闻出现,最近Zeppelin勒索病毒攻击团伙,又使用了新的玩法,先利用恶意软件盗取企业数据,再使用勒索病毒加密企业数据,不交赎金就公布企业的数据,逼迫勒索病毒的受害者交赎金解密......



02

病毒情况

美创安全实验室第一时间拿到相关病毒样本,经virustotal 检测,确认为 Zeppelin勒索病毒。


Zeppelin是一款基于Delphi的“恶意软件即服务”(RaaS),其前身为勒索软件Vega(VegaLocker)。Vega样本于2019年初首次发现,Vega勒索病毒在一年的时间内,不断变种,后面又出现了它的几个不同的变种版本,例如:Jamper(Jumper)勒索病毒、Storm勒索病毒,Buran勒索病毒,都是属于Vega勒索病毒的变种版本。


最新的变种Zeppelin勒索病毒具有很高的可配置性,可以部署为EXE、DLL或使用PowerShell加载器加载,使用PowerShell加载的Zeppelin勒索病毒的样本大多托管在Pastebin上。Zeppelin勒索病毒采用AES-256算法加密文件,然后使用受害者的公共RSA密钥对AES密钥进行加密,再使用随机生成的32字节RC4密钥进一步对其进行混淆。加密后,使得文件无法再打开,并将由字母或数字组成的文件扩展名附加到每个加密文件中。


然后,Zeppelin会留下勒索信息文档!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件,勒索信息文档的内容如下所示:


美创安全实验室预测,勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性。攻击者可能会通过将勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招。



03

防护措施

为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。


美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。


无诺亚防勒索防护的情况下:

在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加由字母或数字组成的加密后缀,并且无法正常打开。


开启诺亚防勒索的情况下:

双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。



开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。


美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。

(5)尽量关闭不必要的文件共享。

(6)尽量关闭不必要的端口。


服务热线:400-711-8011
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1