一、概述

腾讯安全团队检测到Phorpiex僵尸网络正在推广Knot勒索病毒，Knot勒索病毒将自身加密文件密钥配置存放在Phorpiex僵尸网络的资产45.182.189.251上。以往Phorpiex僵尸网络主要作为其它勒索病毒的传播渠道来牟利，而本次投递的Knot勒索病毒从代码相似性和C2服务器的共用性来看，更像Phorpiex僵尸网络团伙直接运营。推测Phorpiex僵尸网络已不满足于仅仅作为其他勒索病毒的传播渠道牟利，开始直接利用所掌控的僵尸网络资源传播自行开发的勒索病毒来获取更大的利益了。

由于Phorpiex僵尸网络团伙当前使用的关键基础设施hxxp://45.182.189.251/k配置尚未生效，其传播的Knot勒索模块暂还不能实施完整的加密勒索过程，其勒索活动尚在谋划阶段，不排除之后不久将更新配置进行大面积投递。

Phorpiex僵尸网络的传播途径较多，主要有以下几种方式：

通过被感染的U盘传播；

通过替换web站点下载的文件传播（直接替换该web站目录下的exe文件为病毒）；

通过被感染的压缩包传播；

通过VNC爆破攻击传播；

通过感染32位PE程序传播。

Phorpiex僵尸网络主要盈利模式包括：

1.投递挖矿木马或窃取虚拟货币的木马牟利；

2.投递勒索诈骗邮件群发病毒敲诈虚拟货币；

3.投递其他黑产团伙的勒索病毒牟利；

4.从当前版本开始尝试运营该团伙自行开发的Knot勒索病毒。

二、详细分析

tldrnet.top为Phorpiex僵尸网络所拥有的网络资产，当前被解析到IP地址45.182.189.251上，被Knot新型勒索病毒用来存放勒索密钥（hxxp://45.182.189.251/k）。

勒索模块感染后在appdata目录创建一个txt作为感染标记，防止重复感染，这也是Phorpiex僵尸网络惯用的一种手法。

通过http://api.wipmania.com/接口查询IP地域信息，对返回结果进行国家判定后规避传播。通过代码可知，该勒索病毒目前攻击的国家有美国、加拿大、英国、澳大利亚、新西兰、中国、韩国、日本、越南。

后续读取45.182.189.251处K文件，因当前链接已经失效，故会跳过加密流程。根据其代码逻辑分析，K文件如果获取成功则会将作为RSA密钥导入备用。

随后尝试结束大量数据库进程，主要目的是为之后的数据加密流程做准备

非数据的系统文件夹或常用软件安装相关文件夹会加入白名单过滤：

非数据类型的可执行文件扩展名会加入白名单：

对白名单之外的文件遍历文件进行加密，被加密后文件被添加.encrypted扩展后缀

为防止用户恢复文件，会删除系统卷影信息

病毒会勒索大约700美金的比特币，从勒索信内容可知该病毒名为Knot勒索病毒

查看当前比特币地址发现当前收益为0。

三、安全建议

腾讯安全专家建议用户参考以下措施防范勒索病毒入侵传播。

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、建议终端用户谨慎下载、点击陌生邮件附件，若非必要，应禁止启用Office宏代码。

IOCs

MD5:

f4e20c0849b1a282e0a853418e18ace4

URL:

hxxp://45.182.189.251/k

IP&Domain:

45.182.189.251

tldrnet.top

参考链接

《GandCrab 4.3勒索病毒再添新特性：借助Phorpiex蠕虫式主动传播，同时挖矿》https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q

《Nemty v2.5借Phorpiex僵尸网络传播，可监视剪贴板劫持虚拟币交易》https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A

《Phorpiex僵尸网络病毒新增感染可执行文件，同时传播Avaddon勒索病毒》

https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA