freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

警惕:疑似FilesLocker招募到代理,新勒索病毒自命名Gorgon(蛇发女妖)
  • 关注
    警惕:疑似FilesLocker招募到代理,新勒索病毒自命名Gorgon(蛇发女妖)
    2019-02-21 11:12:36
    所属地 广东省

    一、概述

    近日,腾讯御见威胁情报中心监测到,一款名为Gorgon的勒索病毒在国内感染多家政企机构。Gorgon为传说中的蛇发女妖,任何人看她一眼就会瞬间石化,Gorgon病毒在勒索界面的显著位置使用了蛇发女妖的图标。病毒作者似乎在暗示:只要中毒,你的系统就石化了。

    这个名字也令安全研究人员十分警惕,Gorgon Group是一个被认为来自巴基斯坦的专业黑客组织,该组织的攻击目标包括英国、西班牙、俄罗斯、美国政界商界组织或人员。

    不过,腾讯安全专家很快发现,本次捕获的勒索病毒虽起名Gorgon,但并未发现与Gorgon Group组织有任何关联。技术分析发现,这个Gorgon勒索病毒实为FilesLocker勒索病毒的换肤版本,Fileslocker勒索病毒最早出现于2018年10月,一出现就大量招募下级代理渠道,随后在国内开始持续传播感染,这个换肤后的Gorgon勒索病毒疑为某个下线渠道的轻微改动。

    Fileslocker勒索病毒的详细分析可参考:《FilesLocker勒索病毒刚一出现,就迫不及待地发展下线》一文。

    二、分析

    通过分析Gorgon勒索病毒可知,该病毒变种整体比较FilesLocker之前版本变化主要有以下几点:

    1.勒索病毒UI的整体变化,同时支持中英韩三种语言(新增韩语);

    2.释放桌面勒索提示文件由FilesLocker版本的txt变化为html,勒索说明更加详细;

    3.攻击成功后替换桌面壁纸的改变;

    4.FilesLocker桌面壁纸存放地址取消使用;

        (hxxp://p2.so.qhmsg.com/t017dbe734425296aea.jpg)

    5.新增Winlogon系统登录项添加,用于在开机登录界面展示勒索信息;

    6.勒索扩展后缀由FilesLocker版本的.[FilesLocker@pm.me]改变为.[buy-decryptor@pm.me];

    7.相比较FilesLocker版本代码增加混淆;

    8.勒索加密使用到的RSA公钥改变,导致之前病毒作者释放出用于解密的RSA私钥也无法解密。

    1.jpg

    FilesLocker 勒索病毒的勒索提示


    2.png

    Gorgon勒索病毒的勒索提示


    以上可见,除勒索框颜色由红变绿,FilesLocker与Gorgon勒索病毒勒索UI布局基本一致。

    3.png


    4.png


    桌面留下的勒索说明文档由txt变化为html

     

    勒索说明文档增加韩语版本,可看出中英勒索说明文件名与Gorgon变种基本一致。

    5.png

    FilesLocker勒索病毒修改的桌面壁纸


    6.png

    Gorgon勒索病毒修改的桌面壁纸 

    相比较FilesLocker来说更加简洁,只留下了英文版本的说明。

    7.jpg

    FilesLocker勒索病毒加密后的文件后辍.[FilesLocker@pm.me]

    8.jpg

    Gorgon病毒变种加密后的后辍为.[buy-decryptor@pm.me]

    9.png


    Gorgon勒索病毒使用C#编写,同FilesLokcer一致,不同点为Gorgon病毒变种通过代码混淆企图对静态分析做对抗。

    10.png

    去混淆后观察可知FilesLocker1,FilesLocker2,与Gorgon勒索变种代码高度一致.

    11.png

    Gorgon变种同FilesLocker2.0版本一样,使用RSA+AES的方式加密用户机器上常见的367种类型文件。

    12.png

    Gorgon病毒变种桌面壁纸存放地址相比较FilesLocker 相同,使用hxxps://iplogger.org/2vMGg5 

    Gorgon新增了Winlogon项修改,用于开机用户登录时展示勒索信息。

    13.jpg

    Gorgon勒索病毒新增在用户登录系统时展示勒索信息


    14.png


    15.png

    Gorgon勒索病毒相比较于FilesLocker加密使用的RSA公钥也发生了变化,这也导致此前该病毒早期版本释放出的RSA私钥将不再适用于当前病毒版本的解密。

    三、安全建议

    企业用户:

    1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

    2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

    3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

    4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

    5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

    6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

    7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

    16.png

    个人用户:

    1、 开启电脑管家拦截病毒

    管家拦截图.png

    2、 打开文档守护者功能

    IOCs:

    MD5

    443670682e32a91777b1b0af2d09163d

    14fceddd5bf4f9dce82e196659ef8448


    # 勒索病毒 # 腾讯御见威胁情报 # 蛇发女妖
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者