• 新闻中心

      新闻中心  >  GandCrab再爆新变种,,,警惕DeepBlue变种感染
      GandCrab再爆新变种,,警惕DeepBlue变种感染
      背景图 2019-05-09 00:00:00
      近日,,,博耀安全团队跟踪到多起GandCrab勒索病毒最新变种感染事件。。。。由于感染主机桌面屏幕会被设置成为深蓝色,,,博耀将该变种命名为GandCrab勒索DeepBlue变种。。
      该勒索变种使用RSA+AES算法进行加密,,,加密文件后会使用随机字符串作为后缀,,且更换桌面为深蓝色背景。。。目前该勒索暂时无法解密,,,,博耀提醒广大用户防范该勒索变种入侵感染。。

      病毒信息

      病毒名称:GandCrab勒索DeepBlue变种
      病毒性质:勒索病毒
      影响范围:已有多省份用户受感染,,,包括但不限于政府、、医药、、、教育等行业
      危害等级:高危
      传播方式:漏洞利用、、RDP暴力破解等方式传播

      病毒描述

      GandCrab勒索DeepBlue变种在功能代码结构上与GandCrab非常相似,,,,同时应用了多种反调试和混淆方式,,,且似乎还处于不断调试的阶段,,,,变种使用RSA+AES算法进行加密,,,,加密文件后会使用随机字符串作为后缀,,,,且更换桌面为深蓝色背景(标题题目会变化),,,,具体勒索特征如下:
      ▲勒索界面
      并释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-HOW-TO-DECRYPT.txt”。。。
      ▲勒索信息文件

      入侵分析

      GandCrab勒索DeepBlue变种入侵方式呈现多样化,,,截至目前收集到以下入侵手段(不排除将来有更多入侵手段):
      • 利用Confluence漏洞(CVE-2019-3396)
      • FCKeditor编辑器漏洞
      • WebLogic wls9-async反序列化远程命令执行漏洞
      • RDP暴力破解
      值得一提的是,,,该攻击者(团伙)近期活跃频繁,,,,且惯用手法是利用多种可能存在漏洞传播勒索病毒来入侵用户终端,,,,并且疑似在开发新型的勒索病毒家族变种。。

      病毒详细分析

      样本母体使用多种加密操作,,,,解密出第一层Payload代码,,,再解密出勒索核心Payload代码。。。。

      提升进程权限。。

      内存中解密出勒索信息文本,,,,生成随机勒索信息文本文件名:[随机数字字符串]+[-readme.txt]。。。。
      遍历进程,,,,结束mysql.exe进程。。。。

      通过cmd.exe执行相应的命令,,删除磁盘卷影。。。。
      遍历磁盘文件目录、、、共享文件目录以及磁盘文件,,,然后使用RSA+AES算法进行文件加密。。
      生成勒索信息桌面图片,,,更改桌面背景图片。。。。

      从内存中解密出来的域名列表中,,,,选取一个域名进行URL拼接,,,然后向URL发送相应的数据。。

      解决方案

      针对已经出现勒索现象的用户,,由于暂时没有解密工具,,,建议尽快对感染主机进行断网隔离。。。博耀提醒广大用户尽快做好病毒检测与防御措施,,,,防范该病毒家族的勒索攻击。。。

      病毒检测查杀

      博耀为广大用户免费提供查杀工具,,,可下载如下工具,,,进行检测查杀。。。。
      64位系统下载链接:https://edr.lc747.com/tool/SfabAntiBot_X64.7z
      32位系统下载链接:https://edr.lc747.com/tool/SfabAntiBot_X86.7z
      使用安全产品查杀木马文件及进程,,,,博耀EDR产品、、、、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,,,部署相关产品用户可进行病毒检测。。。

      病毒防御

      • 及时给电脑打补丁,,修补漏洞,,,修改弱密码。。
      • 对重要的数据文件定期进行非本地备份。。。。
      • 有Confluence应用的用户需升级Confluence版本,,,,并主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。。。。其中版本升级为:
      版本6.6.12及更高版本的6.6.x
      版本6.12.3及更高版本的6.12.x
      版本6.13.3及更高版本的6.13.x
      版本6.14.2及更高版本
      • 有WebLogic应用的用户请参考 https://mp.weixin.qq.com/s/Flc2eHmIystJ5sqJ33pJug 修复相关漏洞。。。
      • 博耀下一代防火墙用户建议升级到AF805版本,,,并开启博耀SAVE安全智能检测引擎,,,,以达到最好的防御效果。。。。
      • 博耀EDR用户建议升级到3.2.8以上版本,,病毒库升级到20190507版本,,以达到最好的防御效果。。
      • 使用博耀安全产品,,,接入安全云脑,,,使用云查服务可以即时检测防御新威胁。。。。
      最后,,,建议企业对全网进行一次安全检查和杀毒扫描,,加强防护工作。。推荐使用博耀安全感知+下一代防火墙+EDR,,,对内网进行感知、、、查杀和防护。。。。
      站点地图