安全研究 >> 安全研究详情

【预警】当初沦为笑柄的DeathRansom勒索病毒再次突袭!!!

作者: 美创科技安全实验室发布日期: 01月10日

01

概    况

近日,美创安全实验室根据勒索病毒威胁情报,发现了名为DeathRansom的勒索病毒最新变种开始大范围传播。DeathRansom勒索病毒一旦渗入系统,就会对存储在计算机上的所有文件进行加密,加密的后缀为wctc。


02

病毒情况

美创安全实验室第一时间拿到相关病毒样本,经virustotal 检测,确认为 DeathRansom勒索病毒。

DeathRansom勒索病毒实际上早就开始传播,但该病毒在诞生初期几乎沦为笑柄,因为受感染的用户发现这个病毒锁死文件的逻辑非常粗糙,仅仅是在原始文件文件名后添加了一个“.wctc”的扩展名,而用户只需要把这个扩展名删除,文件就可以恢复正常使用了。



不过在大约两周之前,这个被视作是“笑话”的比特币勒索病毒,却出现了重新爆发的迹象,而当被感染用户想去删除扩展名时发现,这种病毒已经大幅进化。该病毒使用结合使用用于椭圆曲线Diffie-Hellman(ECDH)密钥交换方案的Curve25519算法、Salsa20、RSA-2048、AES-256 ECB和异或算法来加密文件,并且已经无法再通过简单的删除扩展名的方法消除该勒索病毒的影响。


在每个被加密文件所在的文件夹中,勒索病毒都会创建一个名为read_me.txt的文档,其中包含被感染计算机的唯一“LOCK-ID”和用于联系勒索软件开发人员或机构的电子邮件地址。


“有趣”的是,为了保证“受害人”能够顺利支付比特币酬金,勒索病毒创建的文档中还会包含如何购买比特币的指导,以及指向加密货币场外交易平台LocalBitcoins的链接,甚至还有关于比特币的科普文章链接。对此,有网友戏称,DeathRansom病毒的制作团队堪称推广比特币的“业界良心”。


03

防护措施

为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。


美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。


无诺亚防勒索防护的情况下:

在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加.wctc的加密后缀,并且无法正常打开。


开启诺亚防勒索的情况下:

双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。


查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。


美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。

(5)尽量关闭不必要的文件共享。

(6)尽量关闭不必要的端口。


服务热线:400-711-8011
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1