• 新闻中心

      新闻中心  >  新型勒索病毒Attention感染医疗与半导体行业
      新型勒索病毒Attention感染医疗与半导体行业
      背景图 2019-05-28 00:00:00

      近日,,,拓客猫软件安全团队检测到一种全新的勒索病毒正在活跃,,,攻击者针对制造行业、、医疗行业等目标,,,通过社会工程、、RDP远程爆破等方式手动投放勒索病毒,,且进行加密后会人工删除勒索病毒体和入侵日志。。。
       
      勒索病毒加密后会修改文件后缀为大写的随机[10-12]个英文字母,,,,并释放勒索信息文件,,运行后会进行自复制,,,但通常情况下复制体会被攻击者手动删除。。。。拓客猫软件安全团队将该勒索病毒命名为Attention勒索病毒。。
       
      截止目前,,已有多个省份出现感染案例,,,,该勒索病毒暂时无法解密,,,严重危害业务安全,,,建议提高警惕,,及时防范。。。

      病毒信息

      病毒名称:Attention勒索病毒
      病毒性质:勒索病毒
      影响范围:目前多省份出现感染案例,,,,包括医疗、、、半导体行业用户
      危害等级:高危
      传播方式:社会工程、、RDP远程爆破等方式

      勒索特征

      勒索信息文件YOUR FILES ARE ENCRYPTED.TXT,,,如下所示:
      加密后的文件后缀为大写字母的随机[10-12]个英文字母,,前三个字母相同,,,如下所示:

      样本详细分析

      首先,,,在%temp%目录下生成随机的文件B3A9A362.ghost,,将00写入到文件中,,,如下所示:
      然后拷贝自身到C:\Users\panda\AppData\Roaming\Microsoft\Windows目录下ctfmon.exe(伪装成为系统文件ctfmon.exe),,,,如下:
      通过ShellExecute调用拷贝的ctfmon.exe程序,,,,运行勒索程序:

      自删除原文件,,,调用的参数形如:
      "/c for /l %x in (1,1,666) do ( ping -n 3 127.1 & del"C:\Users\panda\Desktop\Ransomware1.exe" & if not exist "C:\Users\panda\Desktop\Ransomware1.exe" exit )"

      生成勒索密钥相关信息,,然后将密钥信息保存到注册表HKEY_CURRENT_USER\Software\Ghost\Service中,,如下所示:
      遍历网络共享目录,,,,遍历磁盘及文件目录:
      加密文件,,,先读取文件内容,,,,然后进行加密操作:
      加密后的文件后缀名为随机的[10-12]个英文字母。。。。

      解决方案

      针对已经出现勒索现象的用户,,,由于暂时没有解密工具,,建议尽快对感染主机进行断网隔离。。。。拓客猫软件提醒广大用户尽快做好病毒检测与防御措施,,,防范该病毒家族的勒索攻击。。。。

      病毒检测查杀

      拓客猫软件EDR产品、、、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,,,,部署相关产品用户可进行病毒检测,,如图所示:
      拓客猫软件为广大用户免费提供查杀工具,,可下载如下工具,,,进行检测查杀。。。
      64位系统下载链接:https://edr.0518zhaopin.com/tool/SfabAntiBot_X64.7z
      32位系统下载链接:https://edr.0518zhaopin.com/tool/SfabAntiBot_X86.7z

      病毒防御

      拓客猫软件安全团队再次提醒广大用户,,勒索病毒以防为主,,目前大部分勒索病毒加密后的文件都无法解密,,,注意日常防范措施:

      及时给电脑打补丁,,,,修复漏洞。。
       
      对重要的数据文件定期进行非本地备份。。

      不要点击来源不明的邮件附件,,不从不明网站下载软件。。。

      尽量关闭不必要的文件共享权限。。。

      更改账户密码,,设置强密码,,,,避免使用统一的密码,,,因为统一的密码会导致一台被攻破,,,,多台遭殃。。

      如果业务上无需使用RDP的,,,建议关闭RDP。。当出现此类事件时,,推荐使用拓客猫软件下一代防火墙,,,,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,,,,防止扩散!!!!

      拓客猫软件下一代防火墙、、、终端检测响应平台(EDR)均有防爆破功能,,下一代防火墙开启此功能并启用11080051、、、11080027、、11080016规则,,,,EDR开启防爆破功能可进行防御。。。。

      拓客猫软件下一代防火墙用户,,,,建议升级到AF805版本,,,,并开启SAVE安全智能检测引擎,,以达到最好的防御效果。。

      使用拓客猫软件安全产品,,,接入安全云脑,,,使用云查服务可以即时检测防御新威胁。。。

      最后,,建议企业对全网进行一次安全检查和杀毒扫描,,,加强防护工作。。。推荐使用拓客猫软件安全感知+下一代防火墙+EDR,,对内网进行感知、、、查杀和防护。。。。

      咨询与服务

      您可以通过以下方式联系我们,,,获取关于Attention的免费咨询及支持服务:

      拨打电话400-630-6430转6号线(已开通专线)

      关注【拓客猫软件技术服务】微信公众号,,,,选择“智能服务”菜单,,,,进行咨询

      PC端访问拓客猫软件区 bbs.0518zhaopin.com,,选择右侧智能客服,,,,进行咨询
      站点地图