无文件勒索病毒预警

发布者:lijunhua发布时间:2019-06-10浏览次数:2429

近日,亚信安全截获全新无文件勒索病毒,该病毒在PowerShell申请的内存空间中直接完成恶意代码的下载、解密和执行,全程无文件落地。其解密后执行的勒索病毒为GANDCRAB 5.2。此次截获的无文件勒索病毒主要通过如下途径传播:
垃圾邮件传播;
“永恒之蓝”漏洞及中间件漏洞攻击
网页挂马攻击;
RDP和VNC爆破入侵;
捆绑、隐藏在一些破解、激活、游戏工具中传播;
无文件勒索病毒分析
该病毒在PowerShell申请的内存空间中直接完成恶意代码的下载和解密,并执行解密后的勒索病毒GANDCRAB 5.2。                                                                                            

该病毒具有后门功能,其会链接https://paxxxxin.com/xxx/sxxx9Dqt网址发送和接收命令,完成一系列恶意行为。
【https://paxxxxin.com/xxx/sxxx9Dqt网址内容】
其中包含base64加密的代码,我们将其解密后,发现该文件是已知的GANDCRAB 勒索病毒。
【base64加密的代码】
解决方案
  • 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 不要点击来源不明的邮件以及附件;

  • 浏览网页时不下载运行可疑程序;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序。
    详细信息请参考链接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全解决方案
  • 使用亚信安全防毒墙网络版(OfficeScan 11 SP1及以上版本),开启针对勒索软件(Ransomware)的行 为阻止策略,可有效拦截勒索病毒对系统中的文件进行加密。

  • 对于一些不需要使用PowerShell的机器(需得到用户确认),可以使用AppLocker禁用PowerShell,方法如下:

一)创建AppLocker rule
键盘输入Windows徽标+ R 打开运行窗口, 输入gpedit.msc
1、选择计算机配置 - Windows设置- 安全设置 - 应用程序控制策略 -AppLocker


2、右键点击“可执行规则”,选择“创建新规则”
3、单击“创建新规则”后,打开如下窗口,单击“ 下一步”:
4、在下图中,操作选项选择“拒绝”,并为此规则选择适用的用户或组,配置完成后,单击“下一步”:
5、然后选择“路径”,然后单击下一步:
6、选择PowerShell程序路径,然后单击“下一步”:
7、为新规则指定名称,然后单击“创建”:
8、如下提示框选择“是”
9、右键选择AppLocker并单击属性,然后在“可执行规则”下,选择“强制规则”,勾选“已配置”。
二)确保Application Identify服务开启,并设置为开机自启动,如果此服务未正确开启,则AppLocker rule无法正确运行。
三)管理员权限运行命令行窗口,输入 GPUPDATE,更新组策略。
 四)验证:以上操作完成后,再运行PowerShell将被系统阻止

                                                                                                         五)本文以Windows 10 系统为例进行说明,所述设置方法还适用于如下系统:
•       Windows 7
•       Windows 8
•       Windows Server
 注意:上述方法适用于单机版,域控部署方法建议咨询管理员或者微软。