谨防“神秘人”勒索病毒X_Mister偷袭

一、样本简介近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister…

一,试品介绍 最近,国外的一个安全论坛公布了相近Globebmposter的新勒索软件。这个勒索软件类似Globelmposter。它被取名为X_Mister勒索软件,因为它在手机联系人电子邮箱中有x_mister。勒索软件使用RSA + DES。该优化算法对文件进行数据加密,并且没有水平感柒功能。通常,网络攻击在RDP工程爆破后手动式通知目标,或通过垃圾短信传播,并在数据加密完成后自主删掉。 令人信服的安全团队初次获得了相应的试品,并对试品进行了深入分析。   二,勒索软件的特性

1.拓展信息文本文档如何回到您的FILES.txt,如下如图:

2.加密文件名,[初始文件夹名称] + [Mr-X666],

如图所示:三,深入分析 1. 获得程序运行信息并破译运行内存中的相应数据,如下如图:

2.要实行受权操作,请将权限设置为SeBackupPrivilege,SeRestorePrivilege,SeSecurityPrivilege,SeManageVolumePrivilege,如下如图:

3.关掉windows defender的即时保护和行为监控器,如下如图:

4.设置为自启动项,实现起动开机启动操作,如图所示:

5.如下如图遍历设置的卷标:

6.遍历共享网络文件目录文件,如下如图:  

7.遍历硬盘文件目录,如下如图:

8.建立一个进程来遍历共享资源文件目录和硬盘文件目录中的文件,随后建立一个数据加密进程,如下如图:

9.转化成一个隐藏文件.BFC0E91B00AE8A0620D3,载入相应的勒索软件基本信息,数据加密尾缀,保释金文本文档名,勒索软件版本信息等,如图所示:

11.转化成勒索软件文本文档,如下如图:

 4.加密文件操作,加密算法为RSA + DES,如图所示:

13.数据加密完成后,删掉开机启动注册表项,如下如图:

 14.实行删掉硬盘黑影,删掉远程桌面连接信息和删掉系统日志信息等操作,如下如图:

15.实行如下的自删掉操作  四, 解决方法 对于已经使用勒索软件的用户,建议尽早防护受感柒的服务器,因为没有破译工具。深信,提示用户尽早做好病毒检测和防御力对策,防止病毒感染大家族的勒索软件进攻。   病毒检测和杀毒 1,深信为广大用户提供免費杀毒工具,可以下载以下工具进行检测和杀毒。  

32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z   32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   2.深信EDR产品和服务器防火墙以及其他网络安全产品具有病毒检测功能。布署相关产品的用户可以实行病毒检测,如下图所示:

病毒感染防御力 深信安全团队再度提示广大用户,勒索软件以防止主要,大部分文件在敲诈勒索软件加密后无法破译,注意平时防范措施:
1.及时修复电子计算机以修复漏洞。
2.定期实行重要数据文件的非当地备份文件。
3.切勿点击来源于不明来源于的电子邮箱附注,也不要从不明网站下载应用。
4.试着关掉多余的文件共享管理权限。
5.变更账号登陆密码,设置强登陆密码,并避免使用一致登陆密码,因为一致登陆密码会造成密码泄露,多个登陆密码遭到损害。
6.如果服务不用RDP,建议关掉RDP。当发生该类恶性事件时,建议使用深度令人信服的服务器防火墙,或终端设备防护响应平台(EDR)微防护功能来阻拦3389等端口号以防止外扩散! 7.深信服务器防火墙和终端设备检测与响应平台(EDR)具有防爆型功能。服务器防火墙开启此功能并开启11080051,11080027,11080016标准和EDR打开防爆型功能来防御力。
8,说动服务器防火墙的客户,建议升级到AF805版本号,并打开人工智能技术模块Save以提高防御力效果。
9.使用深度令人信服的网络安全产品浏览安全的云人的大脑,并使用云检查服务即时检测新的威协。   最后,建议企业对整个网络进行安全大检查和反病毒扫描仪,以提升保护。建议使用Deep Confidence Security Awareness + Firewall + EDR来检测,停止和保护内部网络。