近日,亚信安全截获全新无文件勒索病毒,该病毒在PowerShell申请的内存空间中直接完成恶意代码的下载、解密和执行,全程无文件落地。其解密后执行的勒索病毒为GANDCRAB 5.2。此次截获的无文件勒索病毒主要通过如下途径传播:
垃圾邮件传播;
“永恒之蓝”漏洞及中间件漏洞攻击
网页挂马攻击;
RDP和VNC爆破入侵;
捆绑、隐藏在一些破解、激活、游戏工具中传播;
无文件勒索病毒分析
该病毒在PowerShell申请的内存空间中直接完成恶意代码的下载和解密,并执行解密后的勒索病毒GANDCRAB 5.2。
该病毒具有后门功能,其会链接https://paxxxxin.com/xxx/sxxx9Dqt网址发送和接收命令,完成一系列恶意行为。 |
|
【https://paxxxxin.com/xxx/sxxx9Dqt网址内容】 |
|
其中包含base64加密的代码,我们将其解密后,发现该文件是已知的GANDCRAB 勒索病毒。 |
|
解决方案
尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 尽量关闭不必要的文件共享; 采用高强度的密码,避免使用弱口令密码,并定期更换密码; 不要点击来源不明的邮件以及附件; 浏览网页时不下载运行可疑程序; 及时更新系统,更新应用程序;打全系统及应用程序补丁程序; 系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序。 详细信息请参考链接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
|
|
一)创建AppLocker rule 键盘输入Windows徽标+ R 打开运行窗口, 输入gpedit.msc 1、选择计算机配置 - Windows设置- 安全设置 - 应用程序控制策略 -AppLocker |
|
3、单击“创建新规则”后,打开如下窗口,单击“ 下一步”: |
|
4、在下图中,操作选项选择“拒绝”,并为此规则选择适用的用户或组,配置完成后,单击“下一步”: |
|
6、选择PowerShell程序路径,然后单击“下一步”: |
|
9、右键选择AppLocker并单击属性,然后在“可执行规则”下,选择“强制规则”,勾选“已配置”。 |
|
二)确保Application Identify服务开启,并设置为开机自启动,如果此服务未正确开启,则AppLocker rule无法正确运行。 |
|
三)管理员权限运行命令行窗口,输入 GPUPDATE,更新组策略。 |
|
四)验证:以上操作完成后,再运行PowerShell将被系统阻止 |
|
五)本文以Windows 10 系统为例进行说明,所述设置方法还适用于如下系统:
• Windows 7
• Windows 8
• Windows Server
注意:上述方法适用于单机版,域控部署方法建议咨询管理员或者微软。