网络安全
近日,亚信安全截获MZREVENGE勒索病毒最新变种文件,该勒索病毒通过关闭安全软件的部分功能逃避安全软件检测,以便其顺利完成加密流程,加密后的文件扩展名为MZ173801。亚信安全将其命名为Ransom.Win32.GENASOM.AC。
攻击流程
病毒详细分析
病毒创建互斥体OneCopyMutex,防止病毒程序重复运行:
通过设置EnableLUA=0禁用用户账户控制(UAC)功能,阻止系统弹出用户账户控制提示:
禁用WindowsDefender的防间谍软件和篡改保护功能,以便顺利完成后续加密流程:
调用Powershell.exe并执行base64加密参数。解密后,代码是删除卷影副本:Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}:
调用CMD.exe,利用WMIC删除卷影副本,并使用bcdedit关闭恢复模式:
随后,病毒作者试图删除Hosts文件并重新写入一个新的Hosts,但是其传入的字符串中缺少了字符s,所以并没有成功修改Hosts文件。
其试图写入Hosts文件内容“127.0.0.1 validation.”
通过访问api.db-获取本机地理位置信息,判断是否进行加密流程:
循环遍历磁盘:
获取加密文件的后缀,为后续加密文件做准备:
遍历文件并通过秘钥加密文件:
获取系统语言,写入对应语言版本的勒索文本:
完成加密后,打开勒索提示信息文本:
亚信安全教你如何防范
不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装;尽量关闭不必要的文件共享;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
亚信安全产品解决方案
亚信安全病毒码版本15.773.60,云病毒码版本15.773.71,全球码版本15.775.00已经可以检测,请用户及时升级病毒码版本。
IOC
SHA-1:6ef0fbff6707b4cae005e8d8a3171a63f1a40d5d
