FilesLocker变种:Gorgon(蛇发女妖)勒索病毒感染政企系统

                       

事件描述

背景介绍

    近日,多家政企用户上报系统遭受一种名为Gorgon的勒索软件攻击,该勒索软件支持中、英、韩三种语言,并修改Winlogon项为勒索信息;深信服安全团队对捕获的样本进行分析,发现该勒索家族疑似FilesLocker代理变种,两者在代码结构、加密文件类型、勒索信息上都有很高的相似度。

    该勒索软件自命名为Gorgon(蛇发女妖),意为感染该病毒的系统都会被”石化“,深信服安全团队针对捕获的样本进行了详细的技术分析。(阅读Fileslocker勒索病毒分析报告请参考文章:《FilesLocker2.1圣诞特别版勒索病毒与早期版本解密工具》

 

样本概述

1.样本运行流程:

2.勒索信息:

Gorgon勒索病毒以窗口模式弹出的勒索信息与Fileslocker整体结构十分相似,只是将颜色换成了绿色,并且图标换成了与名字对应的蛇发女妖:


Fileslocker勒索信息窗口:


与Fileslocker相比增加了更换桌面背景,并新增支持韩语的勒索信息:


3.加密后文件:


详细分析

1.遍历指定的系统目录,和非系统目录:

2.加密指定后缀的文件:


后缀名包括以下367中文件:

".gif"".apk"".groups"".hdd"".hpp"".log"".m2ts"".m4p"".mkv"".mpeg"".epub"".yuv"".ndf"".nvram"".ogg"".ost"".pab"".pdb"".pif"".png"".qed"".qcow"".otp"".s3db"".qcow2"".rvt"".st7"".stm"".vbox"".vdi"".vhd"".vhdx"".vmdk"".vmsd"".psafe3"".vmx"".vmxf"".3fr"".3pr"".ab4"".accde"".accdr"".accdt"".ach"".acr"".sd0"".sxw"".adb"".advertisements"".agdl"".ait"".apj"".asm"".awg"".back"".backup"".sti"".oil"".backupdb"".bay"".bdb"".bgt"".bik"".bpw"".cdr3"".cdr4"".cdr5"".cdr6"".ycbcra"".cdrw"".ce1"".ce2"".cib"".craw"".crw"".csh"".csl"".db_journal"".dc2"".pptm"".dcs"".ddoc"".ddrw"".der"".des"".dgc"".djvu"".dng"".drf"".eml"".ppt"".erbsql"".erf"".exf"".ffd"".fh"".fhd"".flp"".gray"".grey"".gry"".hbk"".ibd"".7z"".ibz"".iiq"".incpas"".jpe"".kc2"".kdbx"".kdc"".kpdx"".ldf"".lua"".mdc"".mdf"".mef"".config"".mfw"".mmw"".mny"".mrw"".myd"".ndd"".nef"".nk2"".nop"".vb"".vip"".vbs"".sln"".dxg"".bat"".cmd"".jar"".c4d"".ape"".nrw"".ns2"".ns3"".ldf"".ns4"".nwb"".nx2"".nxl"".nyf"".odb"".odf"".odg"".odm"".orf"".otg"".oth"".py"".ots"".ott"".p12"".p7b"".p7c"".pdd"".pem"".plus_muhd"".plc"".pot"".pptx"".py"".qba"".qbr"".qbw"".qbx"".qby"".raf"".rat"".raw"".rdb"".rwl"".rwz"".conf "".sda"".sdf"".sqlite"".sqlite3"".sqlitedb"".sr2"".srf"".srw"".st5"".st8"".std"".stx"".sxd"".sxg"".sxi"".sxm"".tex"".wallet"".wb2"".wpd"".x11"".x3f"".xis"".ARC"".contact"".dbx"".doc"".docx"".jnt"".jpg"".msg"".oab"".ods"".pdf"".pps"".ppsm"".prf"".pst"".rar"".rtf"".txt"".wab"".xls"".xlsx"".xml"".zip"".1cd"".3ds"".3g2"".7zip"".accdb"".aoi"".asf"".asp"".aspx"".asx"".avi"".bak"".cer"".cfg"".class"".cs"".css"".csv"".db"".dds"".dwg"".dxf"".flf"".flv"".html"".idx"".js"".key"".kwm"".laccdb"".lit"".m3u"".mbx"".md"".mdf"".mid"".mlb"".mov"".mp3"".mp4"".mpg"".obj"".odt"".pages"".php"".psd"".pwm"".rm"".safe"".sav"".save"".sql"".srt"".swf"".thm"".vob"".wav"".wma"".wmv"".xlsb"".3dm"".aac"".ai"".arw"".c"".cdr"".cls"".cpi"".cpp"".cs"".db3"".docm"".dot"".dotm"".dotx"".drw"".dxb"".eps"".fla"".flac"".fxg"".java"".jtp"".m"".m4v"".max"".mdb"".pcd"".pct"".pl"".potm"".potx"".ppam"".ppsm"".ppsx"".pptm"".ps"".r3d"".rw2"".sldm"".sldx"".svg"".tga"".wps"".xla"".xlam"".xlm"".xlr"".xlsm"".xlt"".xltm"".xltx"".xlw"".act"".adp"".al"".dip"".docb"".frm"".gpg"".jsp"".lay"".lay6"".m4u"".mml"".myi"".onetoc2"".PAQ"".ps1"".sch"".slk"".snt"".suo"".tgz"".tif"".tiff"".txt"".uop"".uot"".vcd"".wk1"".wks"".xlc"

 

3.使用RSA算法加密AES密钥:

4.使用ECB模式的AES算法加密文件:


5.修改文件后缀:


6.删除系统备份:


7.修改Winlogon,当用户开机时再次提示勒索信息:

                       

解决方案

    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。


病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

 http://edr.sangfor.com.cn/tool/SfabAntiBot.zip


2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:


病毒防御

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。


最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注