感谢腾讯御见威胁情报中心来稿!
原文:https://mp.weixin.qq.com/s/iJ_xP70Ft4JTkl4_7qx-zw
一、概述
腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂难以解密,我们提醒各企业提高警惕。
NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。从该变种的感染数据看,国庆期间有明显上升。
主要受害地区为江苏、辽宁、河南等省。
NEMTY勒索病毒v1.6变种的主要特点:
二、详细分析
NEMTY勒索病毒v1.6变种外壳程序在内存中解密出勒索payload进一步执行,外壳最终解密方式为使用硬编码的字串循环异或
病毒运行后首先检查自身互斥体,注册表信息,当机器已经被感染过,则不再进行二次感染,使用互斥体为just_a_game
随后获取感染环境ip,国家,用户名,机器名,系统版本,GUID,解密出硬编码的rsa公钥信息,硬盘信息,加密扩展后缀信息等然后上报。在此过程中,会对当前感染的国家进白名单判定,以便在后续加密过程中对白名单国家进行放行,过程中涉及的大部分字串以Base64+RC4加密存放。
ip获取接口:
http://api.ipify.org
国家获取接口:
http://api.db-ip.com/v2/free/xxx.xxx.xxx.xxx/countryName
信息上报接口:
https://nemty.hk/public/gate?data=
白名单国家列表:
Russia(俄罗斯)、Belarus(白俄罗斯)、Kazakhstan(哈萨克斯坦)、Tajikistan(塔吉克斯坦)、Ukraine(乌克兰)、Azerbaijan(阿塞拜疆)、Armenia(亚美利亚)、Kyrgyzstan(吉尔吉斯坦)、Moldova(摩尔多瓦)
病毒执行过程中使用到的部分字串使用Base64解码+RC4解密,RC4-KEY: *** av。
病毒加密前会在本地生成rsa密钥对,随后会将生成的公钥和硬编码的rsa公钥一同导入,硬编码公钥用于加密本地生成的rsa密钥信息,AES文件加密密钥将被本地生成的rsa公钥加密。
加密文件前结束进程名中包含以下关键字的进程:
Sql
Winword
Wordpad
Outlook
Thunderbird
Oracle
Excel
Onenote
Virtualboxvm
Node
QBW32
WBGX
Teams
Flow
停止以下相关服务:
DbxSvc
OracleXETNSListener
OracleServiceXE
AcrSch2Svc
AcronisAgent
Apache2.4
SQLWriter
MSSQL$SQLEXPRESS
MSSQLServerADHelper100
MongoDB
SQLAgent$SQLEXPRESS
SQLBrowser
CobianBackup11
cbVSCService11
QBCFMontorService
QBVSS
将自身拷贝至user目录并设置计划任务
删除卷影信息
加密前避开以下白名单文件、目录
v1.6版本变种主要更新了密钥生成算法,较老版本相比新增了获取当前进程数进行随机干扰
v1.6版本文件加密使用AES-ECB进行加密,加密使用WinCryptAPI,密钥为生成的0x20字节的随机值计算sha256所得。
老版本密钥生成算法相对简单,文件加密使用修改过的AES-CBC模式,Key全局生成1次,IV对每个文件单独生成。
文件被加密后被添加_NEMTY_randome_随机7位字符串_扩展后缀
生成加密扩展名_NEMTY_random_-DECRYPT.txt的勒索说明文档,文档标题可看出病毒已更新至v1.6版本。
三、安全建议
1.该病毒主要通过垃圾邮件和网页挂马传播,需要企业用户小心处理电子邮件。及时升级操作系统补丁,避免因浏览器漏洞而导致网页挂马攻击发生;
2. 对重要文件和数据(数据库等数据)进行定期非本地备份,普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问;
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;
5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码;
6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
1、勿随意打开陌生邮件,关闭Office执行宏代码;
2、使用腾讯电脑管家拦截病毒。
3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患;
IOCs
MD5:
3e6672a68447e4e7c297e4dd7171b906
6c05aa998d0523f2855769bd30b2d0d1
网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在...
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...
Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并...
据熟悉此事的人士透露,以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件,因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后,这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解–并跟美国的优先事项相矛盾。 自俄罗斯于2月24日对乌克兰...
位于乌克兰的Setapp开发商MacPaw已经创建了一个Mac应用程序,供用户了解他们的数据是否被保存在俄罗斯服务器上,依照该国法律可以被当局读取。总部位于乌克兰基辅的MacPaw已经告诉用户,尽管俄罗斯入侵该国,但这家乌克兰公司开发的软件作品Setapp、CleanMyMac X等将继续提供支持。...