识别使用随机后缀的勒索病毒Golden Axe

背景概述国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。国外…

背景简述 一名国外安全研究人员在3月份发现了一种名叫Golden Ax的勒索软件病毒感染。

  Golden Axe是一种用Go语言撰写的勒索软件病毒感染。使用基于RSA公钥加密系统的PGP开源代码对文档加密编码进行数据加密。 国外安全研究人员在金斧勒索软件曝出中提及敲诈勒索软件加密尾缀是.UIK1J,但在一个令人信服的安全团队对捕捉的样版进行深入分析之后,勒索软件事实上是用5个随机空格符的尾缀数据加密和改动的。每一次数据加密后转化成的文件后缀不同;虽然勒索软件无法通过数据加密尾缀鉴别,但Golden Axe勒索软件的勒索软件文件具有很高的准确率,名叫#instructions-Id#.txt/vbs/jpg。 敲诈勒索功能 1.数据加密后,将文件后缀改动为5个随机空格符,如下图所示: 00.png    2.释放每个文件目录下的勒索软件信息文件,

  如下图所示#instructions-UXPCO#.txt

  #instructions-UXPCO#.vbs

  深入分析 1. 实例首先连接到iplogger.org以查寻服务器iP信息:

  2.遍历硬盘:

  3.转化成RSA公钥:

  4.使用PGP算法加密文件:

  5.释放勒索软件信息文件:

  6.加密文件的结尾将与数据加密信息拼凑:

  解 对于已经使用勒索软件的用户,建议尽早防护受感染的服务器,因为没有破译工具。

  深信,提示用户尽早做好病毒检测和防御力对策,防止病毒感染家族的勒索软件进攻。 病毒检测和杀毒

  1,深信为广大用户提供免费杀毒工具,可以下载以下工具进行检测和杀毒。

  32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z

  2.深信EDR产品和服务器防火墙以及其他网络安全产品具有病毒检测功能。布署相关产品的用户可以执行病毒检测,如下图所示:

  病毒感染防御力 深信安全团队再度提示广大用户,勒索软件以防止主要,大部分文件在敲诈勒索软件加密后无法破译,注意日常防范措施:

  1.及时修复电子计算机以修复漏洞。

  2.定期执行重要数据文件的非当地备份文件。

  3.切勿点击来源于不明来源的电子邮箱附注,也不要从不明网站下载应用。

  4.试着关闭不必要的文件共享管理权限。 5.变更账号登陆密码,设置强登陆密码,并避免使用统一登陆密码,因为统一登陆密码会造成密码泄露,多个登陆密码遭到损失。

  6.如果服务不用RDP,建议关闭RDP。当发生该类事件时,建议使用深度令人信服的服务器防火墙,或终端设备防护响应平台(EDR)微防护功能来阻拦3389等端口号以防止外扩散!

  7.深信服务器防火墙和终端设备检测与响应平台(EDR)具有防爆型功能。服务器防火墙开启此功能并开启11080051,11080027,11080016标准和EDR打开防爆型功能来防御力。

  8,说动服务器防火墙的客户,建议升级到AF805版本号,并打开人工智能技术模块Save以提高防御力效果。

  9.使用深度令人信服的网络安全产品浏览安全的云人的大脑,并使用云检查服务实时检测新的威协。

  最后,建议企业对整个网络进行安全大检查和反病毒扫描仪,以提升保护。建议使用Deep Confidence Security Awareness + Firewall + EDR来检测,停止和保护内部网络。