1. 程式人生 > >Satan勒索病毒家族追蹤及安全防禦解密方法

Satan勒索病毒家族追蹤及安全防禦解密方法

img 分享圖片 主機 方法 images 應該 時間 通過 其它

一、家族簡介
撒旦(Satan)病毒是一款惡意勒索程序,首次出現2017年1月份。Satan病毒的開發者通過網站允許用戶生成自己的Satan變種,並且提供CHM和帶宏腳本Word文檔的下載器生成腳本進行傳播。
Satan勒索病毒主要用於針對服務器的數據庫文件進行加密,非常具有針對性,當文件的後綴名為:
mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp
時,則加密相應的文件,如果後綴是如下列表:
cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk
則不加密文件。
二、家族發展演變史

第一代撒旦(Satan)勒索病毒
2017年1月份,國外某安全研究人員,在Twitter發布了一款新型的利用RaaS進行傳播的勒索病毒,如下:
技術分享圖片
此勒索病毒允許任何人通過註冊一個帳戶,就可以在其網站上創建他們自己的定制版的撒旦(Satan)勒索病毒,相關的暗網網站域名如下:
satan6dll23napb5.onion (目前該網站已關閉)
第二代撒旦(Satan)勒索病毒
2016年Shadow Brokers***NSA下屬Equation Group,並最終於2017年4月14晚,Shadow Brokers在互聯網上發布了之前獲得的NSA方程式***組織的部分文件,包含針對windows操作系統以及其他服務器系統軟件的多個高危漏洞工具(永恒之藍)等。
2017年5月12日,WannaCry爆發,隨後又有多起利用永恒之藍的勒索病毒出現,如:
NotPetya等,它們都使用了永恒之藍漏洞用於在內網中迅速傳播,擴大感染面,而且勒索支付率較高,此時撒旦(Satan)勒索病毒制作團夥,也看準了這個機會,於是暗中開發出它們的更新版本,於2017年11月左右更新出了利用永恒之藍傳播的撒旦(Satan)勒索病毒最新變種。
2017年12月份,國外安全研究人員在Twitter更新了撒旦(Satan)勒索病毒的最新進展,發現其利用了永恒之藍進行傳播,如下:
技術分享圖片

2018年4月份,國內安全廠商都監控到了大量的撒旦(Satan)病毒傳播,於是發布了相關的公布和預警,深信服EDR安全團隊也第一時間跟進了此事,並對Satan的變種進行了相關的報道,如下:

技術分享圖片

撒旦(Satan)勒索病毒最新的變種,相對於第一版的RaaS的撒旦(Satan)勒索病毒,不僅僅使用了永恒之藍漏洞進行傳播,而且其更具有針對性,只加密服務器中相應的數據庫文件,不加密其它類型的文件,同時勒索病毒會使用三種語言顯示勒索信息,如下:
技術分享圖片
第三代撒旦(Satan)勒索病毒
2018年5月底出現了撒旦(Satan)勒索病毒的最新的變種,它不僅僅利用了永恒之藍漏洞,還利用了多個WEB相關的漏洞進行傳播,國外某安全廠商也對相關的樣本進行了跟蹤分析,同時深信服EDR也跟蹤了此事,並在公司內部發布了相應的預警報告,如下:
技術分享圖片
同時我們從撒旦勒索病毒的一個遠程惡意服務器上發現了相應的樣本以及各種內網傳播工具包,如下所示:
技術分享圖片
技術分享圖片
從上可以發現,***服務器上各種內網傳播的相關漏洞利用工具、腳本等,第三代撒旦勒索病毒,加密使用的後綴未發生改變,同樣使用.satan,傳播方式,不僅僅利用永恒之藍進行傳播,同時也利用了多個WEB利用漏洞進行傳播,相關的WEB漏洞列表如下:

  • JBoss反序列化漏洞(CVE-2017-12149)
  • JBoss默認配置漏洞(CVE-2010-0738)
  • Put任意上傳文件漏洞
  • Tomcat web管理後臺弱口令爆破
  • Weblogic WLS 組件漏洞(CVE-2017-10271)

第四代撒旦(Satan)勒索病毒
最近MalwareHunterTeam發現了一款新型的Satan勒索病毒DBGer勒索病毒,其屬於撒旦(Satan)勒索病毒的最新的變種樣本,不僅僅利用了之前的一些安全漏洞,同時還加上了Mimikatz的功能,如下:
技術分享圖片
其加密後的文件後綴名變為了.dbger
撒旦(Satan)勒索病毒經過一年多的變化,其傳播方式不斷在發生改變,***的主要目的就是為了擴大感染面積,提高贖金的支付率,下表為該勒索病毒四次版本的比較:
技術分享圖片

三、發展趨勢與預防措施
2017年勒索病毒爆發的一年,由於永恒之藍漏洞的公開,導致勒索病毒可以在內網中迅速傳播,大量用戶中招,有人說2018年勒索病毒不流行了,事實上,從我們監控的數據可以發現勒索病毒在2018年仍然非常流行,基本上每天都會有新的變種或新的家族出現,仍然是惡意軟件中最嚴重的威脅,深信服EDR安全團隊,通過深入分析研究了十幾款勒索病毒家族,從中得出了2018年上半年最流行的最新勒索病毒“四大家族”,分別是:
1.Globelmposter勒索病毒
2018年3月份在國內各大醫院爆發,主要通過RDP爆破的方式植入,到目前為止,短短幾個月的時候內,已經發現多個此勒索病毒的變種樣本,其加密後的文件後綴多達十幾個之多,目前仍然不斷有新的醫院受到此勒索病毒的***。
2.CrySiS勒索病毒
2018年3月爆發,國內數臺服務器文件被加密為.java後綴的文件,采用RSA+AES加密算法,主要通過RDP爆破的方式植入,同時此勒索病毒在最近也不斷出現它的新的變種,其加密後綴也不斷變化之中。
3.GandGrab勒索病毒
GandGrab勒索家族是2018年1月首次才出現的,應該算是勒索病毒家族中的最年輕,但是最流行的一個勒索病毒家族,短短幾個月的時候內,就出現了多個此勒索病毒家族的變種,而且此勒索病毒使用的感染方式也不斷發生變化,使用的技術也不斷在更新,此勒索病毒主要通過郵件進行傳播,采用RSA+ASE加密的方式進行加密,文件無法還原。
4.Satan勒索病毒
Satan勒索病毒最新的幾款變種,主要通過RDP爆破的方式植入服務器,主要針對服務器的數據庫文件進行加密,而且不斷增加各種內網傳播的技術,利用了永恒之藍等多個漏洞,增加感染面積,可見背後的***團夥不斷地在更新此勒索病毒的內網傳播手段。

如何有效的禦防未知的安全風險,再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密後的文件都無法解密,註意日常防範措施:

  • 不要點擊來源不明的郵件附件,不從不明網站下載軟件
  • 及時給主機打補丁,修復相應的高危漏洞
  • 對重要的數據文件定期進行非本地備份
  • 盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等
  • RDP遠程服務器等連接盡量使用強密碼,不要使用弱密碼
  • 安裝專業的終端安全防護軟件,為主機提供端點防護和病毒檢測清理功能
    技術分享圖片

Satan勒索病毒家族追蹤及安全防禦解密方法