黑客利用漏洞利用工具包传播Seon勒索病毒

背静阐述 近期,国外安全探讨人员破获了一个名叫Seon的勒索软件,并发现攻击者通过Bizarro Sundown(GreenFlash)系统漏洞进攻模块进行传播

背静阐述 近期,国外安全探讨人员破获了一个名叫Seon的勒索软件,并发现攻击者通过Bizarro Sundown(GreenFlash)系统漏洞进攻模块进行传播,该模块一般用以传播各类的勒索软件,如GandCrab。Locky,Hermes等.Seon勒索软件使用AES计算方法加密文件,文件后缀为.FIXT。加锁完成后,hta对话框跳出来,用户与赎金信息交互。   讹诈特点 1.加锁文件后缀。 FIXT: 2.讹诈信息内容:深入分析 1.首先添加AES密匙,存放在注册表HKEY_CURRENT_USER \ Software \ GNU \ Display - > windowData中:


  2.通过ASM获得CUP信息内容:


  3.遍历硬盘并在每个文件目录中放出敲除信息内容txt文档:


  4.遍耗时,它将确认文档的类型,避免加锁含有以下空格符或类型的文档: 运作方式,BOOTSECT.BAK,ntuser.ini,的Thumbs.sbt,your_files_are_encrypted.txt,NTLDR,iconcache.sbt,desktop.ini的,ntuser.dat.log,BOOTFONT.BIN,NTUSER.DAT,BOOT.INI,autorun.inf的,系统,卷信息内容,programdata,手机应用程序,数据,$ WINDOWS。


  ?磁力bt,系统软件,文档,TOR,游览器对话框,Mozilla游览器,手机应用程序数据,WINDOWS.OLD,系统软件,文档,


  (87),$ RECYCLE.BIN,Google,开关机后,UD,阶升,DLL,msstyles,MPA,nomedia,OCX,CMD,PS1,themepack,SYS,PRF,diagcfg,汽车驾驶室,LDF,diagpkg,ICL,386,ICO,CUR,集成电路芯片,安仁,蝙蝠,Com ,RTP,diagcab,NLS,MSC,deskthemepack,IDX,MSP,密歇根州立大学,CPL,垃圾箱,SHS,WPX,ICNS,EXE,ROM,主题,HLP,SPL,fixt,LNK,SCR,DRV   5.在未忽视的类型和文档中,使用AES计算方法对文档进行加锁: 08.png    6.加锁完成后,在Temp文件目录中放出startb.bat并运作它。 base64解密码后,内容用以全部删除硬盘正轨和备份文件bat指令以避免恢复备份:


  7.放出Temp文件目录中的readme.hta文档。在内容被base64解密码后,那是讹诈信息内容,由mshta.exe跳出来:解 对于已经使用勒索软件的用户,建议尽早隔離受感柒的服务器,因为没有解密码工具。深信,提示用户尽早做好病毒检测和防御力具体措施,避免病毒感染大家族的勒索软件进攻。   病毒检测和杀毒


  1,深信为广大用户提供免费杀毒工具,可以免费下载以下工具进行检测和杀毒。 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 31位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   2.深信EDR产品,下一代防火墙和安全认知平台以及其他网络安全产品都选用了病毒检测功能。布署有关产品的用户可以实行病毒检测


  病毒感染防御力 深信安全团队再度提示广大用户,勒索病毒以避免主要,大部分文档在讹诈软件加密后没法解密码,注意平时防范措施:


1.按时修复计算机系统以修复漏洞(包括Internet Explorer运存受损系统漏洞CVE-2016-0189、Flash类型搞混系统漏洞CVE-2015-7645、Flash越界加载系统漏洞CVE-2016-4117)。

  2.按时实行重要数据文件的非当地备份文件。

  3.不可点击来源于末知来源于的电子邮箱辅助件,也不要从末知网站下载微信。

  4.试着关掉多余的文件共享管理权限。

  5.变更账号登陆密码,设置强登陆密码,并避免使用统一性登陆密码,因为统一性登陆密码会造成密码泄露,多个登陆密码遭遇损害。

  6.如果服务不用RDP,建议关掉RDP。当发生该类恶性事件时,建议使用深层令人信服的防火墙设置,或机隔離没有响应平台(EDR)微隔離功能来阻拦3389等端口号以避免外扩散!

  7.深信防火墙设置和机检验与没有响应平台(EDR)具有防暴功能。防火墙设置开始用了此功能并开始用了11080051,11080027,11080016标准和EDR打开防暴功能来防御力。

  8,说动防火墙设置的用户,建议升级到AF805版本号,并打开人工智能技术模块Save以达到好防御力效果。

  9.使用深层令人信服的网络安全产品网络访问安全的云人脑,并使用云检查服务即时检验新的威协。   最后,建议企业对整个网络进行安全大检查和反病毒扫面,以提高保护。建议使用Deep Confidence Security Awareness + Firewall + EDR来检验,中止和保护内部结构网络。