新闻中心

    新闻中心  >  GandCrab再爆新变种,,,警惕DeepBlue变种感染
    GandCrab再爆新变种,,,,警惕DeepBlue变种感染
    背景图 2019-05-09 00:00:00
    近日,,,,老哥网安全团队跟踪到多起GandCrab勒索病毒最新变种感染事件。。由于感染主机桌面屏幕会被设置成为深蓝色,,老哥网将该变种命名为GandCrab勒索DeepBlue变种。。
    该勒索变种使用RSA+AES算法进行加密,,,,加密文件后会使用随机字符串作为后缀,,,,且更换桌面为深蓝色背景。。。目前该勒索暂时无法解密,,,老哥网提醒广大用户防范该勒索变种入侵感染。。。。

    病毒信息

    病毒名称:GandCrab勒索DeepBlue变种
    病毒性质:勒索病毒
    影响范围:已有多省份用户受感染,,,包括但不限于政府、、、医药、、教育等行业
    危害等级:高危
    传播方式:漏洞利用、、RDP暴力破解等方式传播

    病毒描述

    GandCrab勒索DeepBlue变种在功能代码结构上与GandCrab非常相似,,,,同时应用了多种反调试和混淆方式,,且似乎还处于不断调试的阶段,,,,变种使用RSA+AES算法进行加密,,,,加密文件后会使用随机字符串作为后缀,,,且更换桌面为深蓝色背景(标题题目会变化),,,,具体勒索特征如下:
    ▲勒索界面
    并释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-HOW-TO-DECRYPT.txt”。。
    ▲勒索信息文件

    入侵分析

    GandCrab勒索DeepBlue变种入侵方式呈现多样化,,,,截至目前收集到以下入侵手段(不排除将来有更多入侵手段):
    • 利用Confluence漏洞(CVE-2019-3396)
    • FCKeditor编辑器漏洞
    • WebLogic wls9-async反序列化远程命令执行漏洞
    • RDP暴力破解
    值得一提的是,,,该攻击者(团伙)近期活跃频繁,,且惯用手法是利用多种可能存在漏洞传播勒索病毒来入侵用户终端,,,并且疑似在开发新型的勒索病毒家族变种。。。

    病毒详细分析

    样本母体使用多种加密操作,,,,解密出第一层Payload代码,,再解密出勒索核心Payload代码。。。

    提升进程权限。。。

    内存中解密出勒索信息文本,,,生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt]。。
    遍历进程,,结束mysql.exe进程。。。。

    通过cmd.exe执行相应的命令,,,删除磁盘卷影。。
    遍历磁盘文件目录、、、共享文件目录以及磁盘文件,,然后使用RSA+AES算法进行文件加密。。。。
    生成勒索信息桌面图片,,更改桌面背景图片。。

    从内存中解密出来的域名列表中,,选取一个域名进行URL拼接,,,,然后向URL发送相应的数据。。

    解决方案

    针对已经出现勒索现象的用户,,,由于暂时没有解密工具,,,,建议尽快对感染主机进行断网隔离。。。老哥网提醒广大用户尽快做好病毒检测与防御措施,,防范该病毒家族的勒索攻击。。。

    病毒检测查杀

    老哥网为广大用户免费提供查杀工具,,,,可下载如下工具,,进行检测查杀。。。。
    64位系统下载链接:https://edr.nmgwt.org/tool/SfabAntiBot_X64.7z
    32位系统下载链接:https://edr.nmgwt.org/tool/SfabAntiBot_X86.7z
    使用安全产品查杀木马文件及进程,,,老哥网EDR产品、、、、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,,部署相关产品用户可进行病毒检测。。

    病毒防御

    • 及时给电脑打补丁,,,修补漏洞,,,,修改弱密码。。
    • 对重要的数据文件定期进行非本地备份。。
    • 有Confluence应用的用户需升级Confluence版本,,,并主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。。。其中版本升级为:
    版本6.6.12及更高版本的6.6.x
    版本6.12.3及更高版本的6.12.x
    版本6.13.3及更高版本的6.13.x
    版本6.14.2及更高版本
    • 有WebLogic应用的用户请参考 https://mp.weixin.qq.com/s/Flc2eHmIystJ5sqJ33pJug 修复相关漏洞。。
    • 老哥网下一代防火墙用户建议升级到AF805版本,,,并开启老哥网SAVE安全智能检测引擎,,以达到最好的防御效果。。。。
    • 老哥网EDR用户建议升级到3.2.8以上版本,,,,病毒库升级到20190507版本,,,,以达到最好的防御效果。。
    • 使用老哥网安全产品,,,接入安全云脑,,使用云查服务可以即时检测防御新威胁。。
    最后,,,,建议企业对全网进行一次安全检查和杀毒扫描,,,,加强防护工作。。推荐使用老哥网安全感知+下一代防火墙+EDR,,对内网进行感知、、、查杀和防护。。。
    站点地图