摘要:传统勒索病毒特点根据安恒APT云端监控的数据,从今年年初以来勒索病毒攻击呈现快速上升的趋势,且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大...
热点推荐
面对勒索病毒束手无策?安恒APT轻松应对
传统勒索病毒特点
根据安恒APT云端监控的数据,从今年年初以来勒索病毒攻击呈现快速上升的趋势,且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大的挑战。
经过分析,通常该类型病毒的规律如下:
● 该类型病毒的目标性强,主要以邮件为传播方式。
● 勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。
● 该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
新型勒索病毒分析
近期,安恒APT云端监控到了一种新型勒索病毒,该类型病毒运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。
以下为APT沙箱分析到样本载体的关键行为:
● 调用加密算法库
● 通过脚本文件进行Http请求
● 通过脚本文件下载文件
● 读取远程服务器文件
● 通过wscript执行文件
● 收集计算机信息
● 遍历文件
![]()
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
样本运行流程详解
根据APT沙箱报告捕获到样本的关键行为,包括进程行为、文件行为、网络行为等信息,可以发现其运行分析流程如下:
![]()
该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。
同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
勒索病毒应对方案
根据勒索病毒的特点和感染流程,可以推断其变种迅速,通常具备较强的对抗能力,且感染成功后无法恢复,常规的依靠特征匹配的防护手段不再适用,给勒索病毒的防护带来了极大的挑战,从而导致大量的用户被勒索病毒感染造成损失。
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
● 通过脚本文件进行Http请求
● 通过脚本文件下载文件
● 读取远程服务器文件
● 收集计算机信息
● 遍历文件
● 调用加密算法库
安恒APT产品通过内置沙箱虚拟执行环境,可以对网络中传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。
同时,结合安恒APT云端可为用户提供更为深层的威胁分析服务、安全预警服务和情报共享服务,依托于云端的海量数据、高级的机器学习和大数据分析能力,可及时共享最新的安全威胁情报,提供更为精准的威胁分析能力,用户也可直接访问云端,上传、查询和确认样本的分析结果,感知最新的安全情报。
声明:本报告中所有分析截图均来自于安恒APT产品自动生成的沙箱分析报告。
安恒密盾是安恒信息为阿里钉钉量身打造的第三方的安全加密模块,确保信息从通讯链路到钉钉云端的全过程加密,密钥和内容分开存储,双重加密,任何第三方包括钉钉在内都无法解密。在G20期间,钉钉和密盾大显身手,获得赞誉。
扫描二维码注册钉钉企业用户,并开通安恒密盾,根据向导申请企业认证。
杭州安恒信息技术有限公司
杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办,是中国领先的信息安全产品和服务解决方案提供商,阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌,多次入选全球网络安全500强。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续两届世界互联网大会和G20峰会等重大活动提供全方位网络信息安全保障。公司主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等,包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。安恒信息通过“云监测、云防护、云审计、云应用”四大产品线构建全生命周期的一站式“安恒云”平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心的拥抱云计算和大数据,目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌!
微信号:DBAPP2013
长按识别二维码关注我们
