安全动态
近日,天融信谛听实验室监测到在野的money message勒索病毒,该组织是一种勒索软件即服务(raas)模式犯罪团伙,攻击全球各行业知名企业,通过窃取并加密用户数据、索要巨额赎金获取巨大收益。
据该组织地下网络博客称,目前还有接近2百万条待公开的受害者记录,目前受害者包括美国最大的药房药物公司pharmerica、微星国际(msi)计算机硬件提供商、商业财产和意外伤害保险服务商golden bear等。
经验证,天融信下一代防火墙、edr、自适应安全防御系统、僵尸网络木马和蠕虫监测与处置系统、病毒过滤网关可精确检测并查杀该勒索病毒,提供全面的安全保护,有效阻止该事件蔓延。
病毒分析
money message勒索病毒使用c 语言编写,目前最早在野样本出现在3月19日。
money message勒索病毒的运行界面如下图所示。首先枚举并结束指定的进程与服务,并搜索受害主机上的本地磁盘类型。
调用系统程序ssadmin.exe 执行delete shadows /all /quiet命令删除卷影副本,防止加密文件后被本地服务数据恢复备份。
之后创建多个线程执行加密,占用cpu较高性能。由于采用的算法强度较高,加密文件的速度比较慢,如果在加密过程中发现并结束勒索可以挽回一定损失。
如下是勒索病毒运行过程中内存中会解密的配置文件,包含了加密过程的黑名单进程与服务名称,白名单文件目录,网络密钥等重要信息。
此外勒索病毒在软件中内嵌了加密的白名单文件列表,包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。
和常规勒索病毒不同的是,money message在加密文件后并不会更改文件后缀,这直接导致一些可执行文件在被加密后会出现格式报错,文本类文件可以直接打开但数据被加密出现乱码。
在c盘释放的money_message.log实则是勒索信,告知受害者缴纳赎金的谈判地址,并警告受害者如果在规定时间内拿不到赎金,将会公布受害者的私密数据。
money message勒索病毒采用ecdh和chacha20算法加密用户数据,该加密方式速度虽慢,但加密强度较高,目前还无法破解。
附录:
money message勒索加密配置文件:
https://github.com/stupidbird-code/malware_analysize-tools/blob/main/money_message_ransom_config.json
样本ioc列表:
防护建议
及时修复系统及应用漏洞,降低被money message勒索病毒通过漏洞入侵的风险。
加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面。
更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。
定期进行数据备份,并将这些备份数据保存在离线环境或单独的网络中。
安装天融信安全产品加强防护,天融信下一代防火墙、edr、自适应、僵木蠕、病毒过滤网关,可有效防御该勒索病毒。
天融信产品防御配置
一、天融信下一代防火墙系统防御配置
1、通过访问控制策略加强禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;
2、开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;
3、升级到最新病毒特征库,配置病毒防护策略,可有效检测并阻断勒索病毒传播。
4、开启联动功能,获取天融信edr、天融信病毒过滤网关、天融信僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围;
5、开启资产防护功能,启用资产行为基线功能,通过检测资产异常行为,可及时发现隐藏攻击行为并启用策略进行阻断。
二、天融信edr系统防御配置
1、通过微隔离策略加强访问控制,降低横向感染风险;
2、开启文件实时监控功能,可有效预防和查杀该勒索病毒;
3、开启系统加固功能,可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。
三、天融信自适应安全防御系统防御配置
1、通过微隔离策略加强访问控制,降低横向感染风险;
2、通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露;
3、开启病毒实时监测功能,可有效预防和查杀该勒索病毒。
四、天融信僵尸网络木马和蠕虫监测与处置系统配置
1、升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中的勒索病毒;
2、开启威胁情报日志记录和报警功能;
3、可配置旁路阻断或者天融信防火墙联动,拦截勒索病毒网络传播。
五、天融信病毒过滤网关防御配置
1、升级到最新病毒特征库;
2、开启http、pop3、smtp、ftp、imap等协议的病毒扫描检测;
3、配置病毒检测处置策略;
4、开启日志记录和报警功能。
天融信产品获取方式
天融信下一代防火墙、过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品特征库下载地址: ftp://ftp.topsec.com.cn
天融信自适应安全防御系统、天融信edr企业版试用:可通过天融信各地分公司获取。查询网址:
http://www.topsec.com.cn/contact/
天融信edr单机版下载地址:http://edr.topsec.com.cn
- 关键词标签:
- 天融信 勒索病毒 查杀该勒索病毒 安全保护