一、概述:
近日,腾讯御见威胁情报中心监测到一款新型勒索病毒CerBer2019,该勒索病毒已有部分企业用户中招。与其它勒索病毒不同的是,该病毒除加密常见文件类型外,还会把其他勒索病毒(如:WannaCry,Crysis)加密过的文件再次加密。勒索文档要求受害者24小时内支付1比特币解密,超过36小时则销毁文件加密密钥国。经腾讯安全专家分析发现,CerBer2019勒索病毒加密的文件可以解密成功。
加密大致流程
国内某论坛网友的求助发贴
国内有受害者在1月中旬中毒,尝试在相关破解进行求救,查看跟帖内容至今未获解密。
二、技术分析
该病毒通过从资源中读取出后续使用的信息,例如:加密扩展后缀,勒索说明信息,TEA加密轮数,加密Key预备数据等。通过使用文件名首字母作为变量的方式进一步处理执行后续加密流程,最终加密用户机器中的全盘指定类型文件并添加扩展后缀为“CerBerSystemLocked2019”。
病毒会拷贝自身到temp目录添加名为Alcmeter的启动项
之后读取资源信息
解密出大量的加密扩展后缀,勒索说明信息.
值得注意的是,观察加密扩展后缀可知,该病毒加密文件类型不止有常见类型文件,同时包含了部分流行勒索病毒加密文件后添加的扩展后缀,WannaCry,Crysis等。
解密函数如上图
随后从资源读取密钥预备数据
【不支持外链图片,请上传图片或单独粘贴图片】
图9
对密钥预备数据进行字节序倒序处理
对倒序后的密钥预数据进一步加密处理得到真正的16字节密钥(红色部分)
处理方式如下:
1.获取文件名首字母数据
2.将首字母数据与密钥预备数据进行异或运算得到1字节Key数据
3.将文件名首字母字节数据进行左移变化
4.循环1-3将Key数据初始化完毕
根据配置中获取数据来从3个加密方式中选择一个方式对文件进行加密,目前病毒使用sub_40177A:内循环使用TEA算法对文件进行加密
sub_40177A主加密方式:TEA
sub_401748主加密方式:TEA
sub_401797主加密方式:自定义XOR
最终使用TEA算法加密文件,加密轮数来同样源于配置文件中为0x20
加密文件完成后写入原始文件,写入会跳过文件头0x20字节,该偏移指同样来配置中,同时添加扩展后缀名为“CerBerSystemLocked2019”
被加密文件前0x20字节保留着原始数据
病毒留下的勒索说明文档,勒索1比特币,并声称超过36小时候文件将无法恢复
同时以弹窗通知勒索信息
点击确定后弹出一个密码输入框
通过分析加密流程可实现解密方案,目测解密成功
确认解密后的图片已可正常浏览
三、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
MD5:
40918bfff9f7aa4d6bc516dcb1ed9e71
3b3cc96859ca5578bcd2f300e812a371