感谢腾讯御见威胁情报中心来稿!
原文:https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw
腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业 *** 的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。
该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时,该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件,整个勒索加密模块更像是为了此次攻击,紧急编写 *** 而成。
病毒使用RSA+salsa20的方式对文件进行加密,RSA公钥硬编码Base64编码后存放,全局生成的salsa20密钥将被该公钥加密后作为用户ID使用,对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾,被加密文件暂时无法解密。
如下图中,文件被加密后添加geer扩展后缀,同时留下名为READ_ME.txt勒索信,要求用户联系指定邮箱geerban@email.tg购买解密工具。
查看用户侧染毒环境可知,攻击者并不满足于只攻陷这一条服务器,还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知,攻击者在目标机器部署了大量对抗工具,主要有进程对抗工具(processhacker,Pchunter等),内网扫描工具(NS),系统日志清理工具(Loggy cleaner.exe),同时还有大量的本地密码抓取工具(包括mimikztz本地口令抓取,各类浏览器密码抓取,邮箱密码抓取,RDP,VNC登录口令抓取等工具)。
被攻击环境中存在大量残留的密码抓取工具,此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器,一旦该部分机器使用了与本机相同被窃取的弱密码,则也会同时成为攻击者加密目标。
联系攻击者可知,其索要0.37比特币的解密赎金,市值约1.7万人民币。
企业用户:
个人用户:
MD5:
b27e50375a815f59a8a8b33fd5d04367
Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT ...
Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。...
Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分...
法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。” 法新社报道截图 去年7月,这...
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据...
2021年CVE回顾: 时间飞逝,转眼间来到了2022年。新的一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。 通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视...