黑客散播Paradise勒索病毒

“天堂”竟然伸出恶魔之手?Paradise勒索病毒再度席卷一、样本简介近日,深信服安全团队接到客户反馈,主机被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为Paradise勒索病毒的变种版本,并…

“人间天堂”乃至抬起恶魔之手?人间天堂保释金病毒感染再度席卷而来 一,试品详细介绍 近期,说动安全性精英团队接到顾客意见反馈,服务器被数据加密和敲诈勒索,历经追踪剖析,获得相对的样版,确定样版是Paradise勒索软件的变种版本号,并对勒索软件样版开展了详细分析。人间天堂(Paradise)勒索软件初次出現于2018年年7月,感柒了好几家企业。此变体使用了CrySiS系列产品的勒索软件信息内容,编码构造与初期版本号彻底不一样。 敲诈勒索信息内容弹出对话框:

  敲诈勒索信息内容文档:

  加密文件名: [初始文件夹名称] _ [任意字符串] _ {immortalsupport@cock.li}.p3rf0rm4

  二,深入分析 1. 勒索软件孕妇样版,应用UPX装包,

  2.获得涵数CreateToolhelp32Snapshot,Module32FirstW的详细地址,

  3.破译运行内存中的有关统计数据并将运行内存特性改动为可读和可实行,

  11.再度在运行内存中编解码统计数据并获得相对的

  4.自动跳转以实行破译的编码,给出如图:

  6.检索GetProcAddress涵数的部位

  11.根据GetProcAddress涵数获得LoadLibraryA涵数详细地址

  8.根据上边得到的LoadLibraryA和GetProcAddress涵数获得一连串涵数的详细地址,

  有关作用给出: VirtualAlloc,VirtualProtect,VirtualFree,GetVersionExA,TerminateProcess,ExitProcess,SetErrorMode 10获得电脑操作系统版本信息,给出如图:

  11.根据VirtualAlloc分派相对的运行内存,随后在运行内存中破译关键Payload的pE文档,

  4.稍候根据VirtualProtect改动0x00400000内存地址特性,并将破译后的Payload编码拷贝到详细地址0x00400000,

  12.在0x00400000运行内存段中的Payload内容编码处自动跳转实行到0x00402657,

  13.根据GetUserDefaultLangID获得电脑操作系统語言Id,

  假如电脑操作系统語言是: 乌克兰乌克兰,LANG_KAZAK哈萨克斯坦,LANG_BELARUSIAN白俄罗斯,LANG_TATAR乌克兰 随后实行ping 127.0.0.1指令并删掉本身,给出如图:

  14.应用程序流程資源Id 1载入資源统计数据,

  它包括相对的RSA密匙和诈骗信息内容等信息内容,

  15.关掉Windows Defender防护软件,给出如图:

  5.将本身拷贝到适度的文件目录以保持耐受性,

  17.还转化成相对的勒索软件HTA文档

  18.将文档自身和勒索软件信息内容拷贝到起动文件目录。文件夹名称是任意字符串

  拷贝后,转化成相对的文档,给出如图:

  19.根据ShellExecuteW运作runas起动程序流程

  20.删掉硬盘黑影实际操作

  21.遍历步骤并完毕相对步骤

步骤明细给出:
  22.终止相对的服务项目给出:
  相对的服务项目明细给出:
  23.转化成适度的数据加密密匙,给出如图:
  24.遍历硬盘文件目录,随后建立数据加密进程,按给出方法加密文件:
  25.枚举互联网共享文件夹文件目录,随后建立数据加密进程并加密文件,给出如图:
  26.数据加密进程,遍历硬盘和共享资源文件目录,随后按给出方法加密文件:
  假如文件目录包括下列文件目录字符串,则不实行数据加密,相对???字符串目录给出如图: Windows,$ Recycle.bin,系统软件卷信息内容 程序文件,程序文件(x86) 一起,在每一数据加密文件目录中,转化成含有files.txt的敲诈勒索信息内容文本文档。
  27.加密文件的全过程给出:
  28.应用files.txt保释金信息内容文本文档转化成并弹出来表明,给出如图:
  29.转化成的HTA勒索软件信息内容文档弹出来给出:
  30.上传联接htpp://iplogger.org/1t8zw7网址的恳求,获得受害人ip地址,如图所示:
  第二,解决方法 针对早已应用勒索软件的客户,提议尽早防护受感柒的服务器,由于沒有破译专用工具。深信,提示客户尽早做好病毒检测和防御力对策,避免病毒感染大家族的勒索软件进攻。 病毒检测和杀毒
  1,深信为众多客户出示免費杀毒专用工具,可以免费下载下列专用工具开展检测和杀毒。
  32位系统软件下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 31位系统软件下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z 2.深信EDR商品,下一代防火墙和安全性认知服务平台及其别的网络安全产品都配置了病毒检测作用。布署有关商品的客户可以实行病毒检测,
  如下图所示: 病毒感染防御力 深信安全性精英团队再度提示众多客户,勒索软件以避免关键,大部分文档在敲诈勒索软件加密后没法破译,留意平时防范措施:
  1.立即修复电子计算机以修复漏洞。
  2.每季度实行关键数据文件的非当地备份文件。 3.切勿点击来源于不明来源于的电子邮箱附注,也不必从不明网址下载应用。
  11.试着关掉多余的文件共享管理权限。 4.变更账号登陆密码,设定强登陆密码,并防止应用一致登陆密码,由于一致登陆密码会造成密码泄露,好几个登陆密码遭到损害。
  6.假如服务项目不用RDP,提议关掉RDP。当产生该类恶性事件时,提议应用深度1令人信服的服务器防火墙,或终端设备防护没有响应服务平台(EDR)微防护作用来阻拦3389等端口号以避免外扩散!
  11.深信服务器防火墙和终端设备检验与没有响应服务平台(EDR)具备防爆型作用。服务器防火墙开启此作用并开启11080051,11080027,11080016标准和EDR开启防爆型作用来防御力。
  8,说动服务器防火墙的顾客,提议升級到AF805版本号,并开启人工智能技术模块Save以提高防御力实际效果。
  10应用深度1令人信服的网络安全产品浏览安全性的云人的大脑,并应用云查验服务项目即时检验新的威协。 最终,提议公司对全部互联网开展安全大检查和反病毒扫描仪,以提升维护。提议应用Deep Confidence Security Awareness + Firewall + EDR来检验,停止和维护內部互联网。