欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

死而复生,新型Ouroboros勒索病毒来袭

 

近日国外研究人员发现了一款新型的勒索病毒,并附上了app.any.run的运行链接,如下所示:

640.webp.jpg

app.any.run链接:https://app.any.run/tasks/776ad341-713b-42d6-9c06-83fa4a302850/

 

从app.any.run上下载样本进行分析,此勒索病毒加密后的文件,如下所示:

640.webp.jpg

加密后的文件后缀名格式:

[原文件].[ID=随机数字字符串].

[Mail=unlockme123@protonmail.com].Lazarus

 

弹出的勒索提示信息,如下所示:

640.webp.jpg

生成的勒索提示信息文本文件Read-Me-Now.txt,内容如下所示:

640.webp.jpg

黑客留下的邮箱地址:unlockme123@protonmail.com

 

为啥国外安全研究人员认为此勒索病毒为Ouroboros,可能是由于在使用IDA静态分析的时候发现了它的PDB文件路径,如下所示:

640.webp.jpg

可以看出它的PDB文件路径为:

D:\Raas\ouroboros_en\Release\Ouroboros_en.pdb,猜测这款勒索病毒可能也是一款RAAS勒索病毒

 

同时看到这款勒索病毒的加密后缀为:Lazarus,它是《圣经*约翰福音》中记载的人物,他病危时没等到耶稣的救治就死了,但耶稣一口断定他将复活,四天后拉撒路果然从山洞里走出来,证明了耶稣的神迹,从而它也代表着:死而复生,东山再起之意

 

这款新型的勒索病毒使用这个加密后缀,作者会不会也有某种意预,或想说明什么呢?

 

随着GandCrab勒索病毒停止更新之后,已经有多款新型勒索病毒出现,这些新型的勒索病毒背后都有着强大的运营团队,这些运营团队大概也是因为看到了GandCrab勒索病毒获取了巨大利益


查看些勒索病毒的时间戳为2019-08-11,如下所示:

640.webp.jpg


此勒索病毒核心技术原理剖析

1.此勒索病毒会遍历进程,然后结束相关的数据库进程,如下所示:

640.webp.jpg

结束的数据库相关进程列表,如下:

sqlserver.exe、msftesql.exe、sqlagent.exe、sqlbrowser.exe、

sqlwriter.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe

2.通过调用powershell命令删除磁盘卷影副本,如下所示:

640.webp.jpg

3.遍历磁盘,加密文件,修改加密后的文件后缀名,如下所示:

640.webp.jpg

4.加密的时候跳过windows相关目录,以及如下文件名的文件,如下所示:

640.webp.jpg

5.生成勒索提示信息文本文件,如下所示:

640.webp.jpg

6.将IP地址,主机ID,加密Key信息,邮箱地址发送到远程服务器176.31.68.30,如下所示:

640.webp.jpg

发送的数据,如下所示:

640.webp.jpg

获取到的流量数据,如下所示:

640.webp.jpg


最近一两年针对企业的勒索病毒攻击越来越多了,各个企业应该做好相应的防护措施,提高员工的安全意识,针对企业勒索病毒攻击

9999.jpg


暂无

您可能还会对下面的文章感兴趣: