感谢腾讯御见威胁情报中心来稿！

原文：https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw

一、概述

腾讯安全御见威胁情报中心接受到用户求助，称其公司内服务器文件被全盘加密，被加密文件全部修改为.geer类型。经远程协助查看，攻击者疑似通过RDP弱口令登录成功后投毒，再将系统日志全部清除，并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多，攻击者利用这些工具，对内网其它机器实施攻击，以扩大勒索病毒对该企业 *** 的破坏数量，勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件，暂无有效的解密工具，我们提醒各政企机构高度警惕，尽快消除危险因素，强化内网安全。

二、分析

该勒索病毒编写极为简洁，仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数，希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时，该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件，整个勒索加密模块更像是为了此次攻击，紧急编写 *** 而成。

病毒使用RSA+salsa20的方式对文件进行加密，RSA公钥硬编码Base64编码后存放，全局生成的salsa20密钥将被该公钥加密后作为用户ID使用，对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾，被加密文件暂时无法解密。

如下图中，文件被加密后添加geer扩展后缀，同时留下名为READ_ME.txt勒索信，要求用户联系指定邮箱geerban@email.tg购买解密工具。

查看用户侧染毒环境可知，攻击者并不满足于只攻陷这一条服务器，还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知，攻击者在目标机器部署了大量对抗工具，主要有进程对抗工具(processhacker，Pchunter等)，内网扫描工具（NS），系统日志清理工具(Loggy cleaner.exe)，同时还有大量的本地密码抓取工具（包括mimikztz本地口令抓取，各类浏览器密码抓取，邮箱密码抓取，RDP，VNC登录口令抓取等工具）。

被攻击环境中存在大量残留的密码抓取工具，此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器，一旦该部分机器使用了与本机相同被窃取的弱密码，则也会同时成为攻击者加密目标。

联系攻击者可知，其索要0.37比特币的解密赎金，市值约1.7万人民币。

三、安全建议

企业用户：

个人用户：

IOCs

MD5:

b27e50375a815f59a8a8b33fd5d04367