快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

追踪Satan勒索病毒家族

1、家族简介

撒旦(Satan)病毒是一款恶意勒索程序,首次出现2017年1月份。Satan病毒开发者通过网站允许用户生成本人的Satan变种,并且提供CHM以及带宏脚本Word文档的下载器生成脚本进行传播。

Satan勒索病毒首要用于针对服务器的数据库文件进行加密,无比具有针对性,当文件的后缀名为:

mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp

时,则加密相应的文件,要是后缀是如如下表:

cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk

则不加密文件。

二、家族发铺演化史

第一代撒旦(Satan)勒索病毒

2017年1月份,国外某安全研究人员,在Twitter发布了一款新型的行使RaaS进行传播的勒索病毒,以下:

图片.png此勒索病毒允许任何人通过注册一个帐户,就可以在其网站上创建他们本人的定制版的撒旦(Satan)勒索病毒,相干的暗网网站域名以下:

satan6dll23napb5.onion (目前该网站已关闭)

第二代撒旦(Satan)勒索病毒

2016年Shadow Brokers入侵NSA下属Equation Group,并终极究2017年4月14晚,Shadow Brokers在互联网上发布了之前获得的NSA方程式黑客构造的部分文件,包含针对windows操作体系和其他服务器体系软件的多个高危漏洞工具(永恒之蓝)等。

2017年5月12日,WannaCry爆发,随后又有多起行使永恒之蓝的勒索病毒出现,如:

NotPetya等,它们都使用了永恒之蓝漏洞用于在内网中迅速传播,扩铺感染面,而且勒索支付率较高,此时撒旦(Satan)勒索病毒制造团伙,也看准了这个机会,因而暗中开发出它们的更新版本,于2017年11月左右更新出了行使永恒之蓝传播的撒旦(Satan)勒索病毒最新变种。

2017年12月份,国外安全研究人员在Twitter更新了撒旦(Satan)勒索病毒的最新进铺,发现其行使了永恒之蓝进行传播,以下:

图片.png2018年4月份,国内安全厂商都监控到了大批的撒旦(Satan)病毒传播,因而发布了相干的公布以及预警,深信服EDR安全团队也第一时间跟进了此事,并对Satan的变种进行了相干的报导,以下:

图片.png撒旦(Satan)勒索病毒最新的变种,相对第一版的RaaS的撒旦(Satan)勒索病毒,不仅仅使用了永恒之蓝漏洞进行传播,而且其更具有针对性,只加密服务器中相应的数据库文件,不加密别的类型的文件,同时勒索病毒会使用三种说话显示勒索信息,以下:

图片.png第三代撒旦(Satan)勒索病毒

2018年5月底出现了撒旦(Satan)勒索病毒的最新的变种,它不仅仅行使了永恒之蓝漏洞,还行使了多个WEB相干的漏洞进行传播,国外某安全厂商也对相干的样本进行了跟踪阐发,同时深信服EDR也跟踪了此事,并在公司内部发布了相应的预警讲演,以下:

图片.png同时我们从撒旦勒索病毒的一个遥程恶意服务器上发现了相应的样本和种种内网传播工具包,以下所示:

图片.png图片.png从上可以发现,黑客服务器上种种内网传播的相干漏洞行使工具、脚本等,第三代撒旦勒索病毒,加密使用的后缀未发生改变,一样使用.satan,传播方式,不仅仅行使永恒之蓝进行传播,同时也行使了多个WEB行使漏洞进行传播,相干的WEB漏洞列表以下:

JBoss反序列化漏洞(CVE-2017-12149)

JBoss默认设置漏洞(CVE-2010-0738)

Put任意上传文件漏洞

Tomcat web治理后台弱口令爆破

Weblogic WLS 组件漏洞(CVE-2017-10271)

第四代撒旦(Satan)勒索病毒

近来MalwareHunterTeam发现了一款新型的Satan勒索病毒DBGer勒索病毒,其属于撒旦(Satan)勒索病毒的最新的变种样本,不仅仅行使了之前的一些安全漏洞,同时还加上了Mimikatz的功能,以下:

图片.png其加密后的文件后缀名变为了.dbger

撒旦(Satan)勒索病毒经过一年多的变迁,其传播方式不断在发生改变,黑客的首要目的就是为了扩铺感染面积,提高赎金的支付率,下表为该勒索病毒四次版本的比较:

图片.png3、发铺趋向与防备措施

2017年勒索病毒爆发的一年,由于永恒之蓝漏洞的地下,导致勒索病毒可以在内网中迅速传播,大批用户中招,有人说2018年勒索病毒不流行了,究竟上,从我们监控的数据可以发现勒索病毒在2018年仍旧无比流行,基本上每天都会有新的变种或新的家族出现,仍旧是恶意软件中最严重的威胁,深信服EDR安全团队,通过深入阐发研究了十几款勒索病毒家族,从中得出了2018年上半年最流行的最新勒索病毒“四人人族”,分别是:

1.Globelmposter勒索病毒

2018年3月份在国内各大病院爆发,首要通过RDP爆破的方式植入,到目前为止,短短几个月的时辰内,已经发现多个此勒索病毒的变种样本,其加密后的文件后缀多达十几个之多,目前仍旧不断有新的病院受到此勒索病毒的攻击。

2.CrySiS勒索病毒

2018年3月爆发,国内数台服务器文件被加密为.java后缀的文件,采用RSA+AES加密算法,首要通过RDP爆破的方式植入,同时此勒索病毒在近来也不断出现它的新的变种,其加密后缀也不断变迁当中。

3.GandGrab勒索病毒

GandGrab勒索家族是2018年1月首次才出现的,应该算是勒索病毒家族中的最年青,然则最流行的一个勒索病毒家族,短短几个月的时辰内,就出现了多个此勒索病毒家族的变种,而且此勒索病毒使用的感染方式也不断发生变迁,使用的手艺也不断在更新,此勒索病毒首要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件没法还原。

4.Satan勒索病毒

Satan勒索病毒最新的几款变种,首要通过RDP爆破的方式植入服务器,首要针对服务器的数据库文件进行加密,而且不断增添种种内网传播的手艺,行使了永恒之蓝等多个漏洞,增添感染面积,可见违后的黑客团伙不断地在更新此勒索病毒的内网传播手段。

以上“四人人族”可以称得上是2018年上半年最流行最活跃的勒索病毒家族,不断接到客户反馈被以上勒索病毒攻击,一部分用户只能去找黑客,试图还原文件,目前此“四人人族”勒索病毒加密后的文件均没法还原。

深信服EDR安全团队,始终在慎密亲密关注跟踪监控各类勒索病毒的发铺,同时绝量在第一时间拿到相干的勒索病毒样本,对样本进行具体深入的阐发,同时在深信服EDR产品中增添相应的防御措施,并同享相应的情报给深信服其他安全类产品(SIP/AF)团队,共同防御种种恶意攻击,黑客网,目前深信服EDR能有用检测及防御一百五十多种相应的勒索病毒家族及变种,部分截图以下:

图片.png恶意样本威胁始终是终端安全最需要解决的问题之一,目前各个平台的恶意样本,基本情形以下:

Windows平台:勒索病毒、挖矿病毒、各类APT(RAT类商业间谍活动)为主

Linux平台:DDOS攻击,挖矿病毒为主

Android/iOS平台:盗号、刷流量、钓鱼,DDOS为主

IoT平台:以Mirai变种行使IoT漏洞的DDOS攻击为主

Mac平台:盗号后门,勒索为主

2018年勒索病毒仍旧是Windows终端安全最大的安全威胁之一,它严重影响受害者的正常营业,其中感染方式也在不断的更新中,各类安全危害也始终存在:

(1) 有若干个勒索病毒黑产团伙?

(2) 外界有若干台服务器存在RDP爆破的危害?

(3) 外界有若干台主机没有打上相应的安全补丁,存在安全危害?

(4) 员工的安全意识是否充足?随便关上下载邮件附件,被钓鱼?随便在第三方或不明网站下载种种软件?

……

怎么样有用的御防未知的安全危害,再次提醒泛博用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都没法解密,注意一样平常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁,修复相应的高危漏洞

3.对重要的数据文件定期进行非内陆备份

4.绝量关闭无须要的文件同享权限和关闭无须要的端口,如:445,135,139,3389等

5.RDP遥程服务器等连接绝量使用强暗码,不要使用弱暗码

6.装置专业的终端安全防护软件,为主机提供端点防护以及病毒检测清理功能

 *

您可能还会对下面的文章感兴趣: