黑客分析tater勒索病毒

一、行为概述近日,深信服安全团队收到客户反馈,其服务器遭到勒索病毒攻击,所有文件数据被加密,加密后缀名为“.tater”。此次攻击的为一种新型的勒索病毒,除了豁免少数几个系统文件夹以外,其会对其他目录…

一,行为简述 最近,令人信服的安全团队接到了客户反馈,其网络服务器遭受勒索软件进攻,所有文件数据都被数据加密,数据加密尾缀被取名为“.tater”。 进攻是一种新式的勒索软件。除了免去一些系统文件夹名称之外,它还数据加密其他文件目录的所有尾缀文件而不数据加密。该病毒感染还增加了一个用于掩藏的VB程序shell。由于加密技术采用RSA + AES方法,因此无法临时破译。 

二,侵入分析 文档加密时间为2019/3/26 6: 44左右:  

常见故障排除系统日志发现网络服务器已在2019/3/26 6: 37:

21远程登录,登录iP是内网ip地址:  

网络黑客登录后,流程优化工具Process Hacker用于结束系统中的防护软件,随后将病毒感染放进tater@mail2tor.Com文件夹名称进行敲诈勒索:

 三,深入分析 主编程代码结构如下:

查寻程序自己的资源数据如下:

相应的数据在运行内存中破译如下:

建立子系统进程并按如下方式启用该程序:

建立子系统进程,如下如图:  

勒索软件的核心编码被载入到运行内存中以供执行,运行内存DUMP中的rams数据加密的Payload如下: 11.png  通过判断电脑操作系统语言来免除特定区域,包括:乌克兰,哈萨克斯坦,白俄罗斯,俄罗斯,鞑靼:

删掉硬盘黑影: 

 结束特定的系统进程:   

流程明细如下: Sqlwriter.exe,sqlbrowser.exe,sqlservr.exe,TNSLSNR.EXE,mysqld.exe,MsDtsSrvr.exe,sqlceip.exe,msmdsrv.exe,mpdwsvc.exe,fdlauncher.exe,Launchpad.exe,chrome.exe,oracle。 Exe,devenv.exe,PerfWatson2.exe,ServiceHub服务器连接点x86.exe,Node.exe,Microsoft VisualStudio web Host.exe,Lightshot.exe,netbeans64.exe,spnsrvnt.exe,sntlsrtsrvr.exe,w3wp.exe, TeamViewer_Service.exe,TeamViewer.exe,SecomSDK.exe,schedule2.exe,schedhlp.exe,adm_tray.exe,EXCEL.EXE,MSACCESS.EXE,OUTLOOK.EXE,POWERPNT.EXE,AnyDesk.exe,Microsoft SqlServer IntegrationServices MasterServiceHost.exe ,Microsoft SqlServer IntegrationServices WorkerAgentServiceHost.exe。 破译程序1中的RSA公钥:

转化成一对新的RSA公钥2和私钥2:
使用公钥1数据加密私钥2和base64编号:
 将公钥2和编号的私钥2载入文件%appdata%\ _ uninstalling_.png,如下如图:
  数据加密共享文件: 
数据加密硬盘文件:
  将保释金信息载入文件“#HOW TO DECRYPT#.txt”:
 免去以下文件目录:Windows,$ Recycle.bin,系统卷信息。
  转化成AES密匙并使用公钥2进行数据加密:
使用AES加密文件,随后将数据加密的AES密匙载入加密文件:
 数据加密文件后缀为“.tater”。
第四,解决方法 对于已经使用勒索软件的用户,建议尽早防护受感染的服务器,因为没有破译工具。深信,提示用户尽早做好病毒检测和防御力对策,防止病毒感染家族的勒索软件攻击。 病毒检测和杀毒 1,深信为广大用户提供免费杀毒工具,可以下载以下工具进行检测和杀毒。
32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z 2.深信EDR产品,下一代防火墙和安全认知平台以及其他网络安全产品都配置了病毒检测功能。布署相关产品的用户可以执行病毒检测,如下图所示:  
病毒感染防御力 深信安全团队再度提示广大用户,勒索软件以防止主要,大部分文件在敲诈勒索软件加密后无法破译,注意日常防范措施:
1.及时修复电子计算机以修复漏洞。
2.定期执行重要数据文件的非当地备份文件。
3.切勿点击来源于不明来源的电子邮箱附注,也不要从不明网站下载应用。
.试着关闭不必要的文件共享管理权限。
5.变更账号登陆密码,设置强登陆密码,并避免使用统一登陆密码,因为统一登陆密码会造成密码泄露,多个登陆密码遭到损失。
6.如果服务不用RDP,建议关闭RDP。当发生该类事件时,建议使用深度令人信服的服务器防火墙,或终端设备防护响应平台(EDR)微防护功能来阻拦3389等端口号以防止外扩散!
7.深信服务器防火墙和终端设备检测与响应平台(EDR)具有防爆型功能。服务器防火墙开启此功能并开启11080051,11080027,11080016标准和EDR打开防爆型功能来防御力。 8,说动服务器防火墙的客户,建议升级到AF805版本号,并打开人工智能技术模块Save以提高防御力效果。 9.使用深度令人信服的网络安全产品浏览安全的云人的大脑,并使用云检查服务实时检测新的���胁。   最后,建议企业对整个网络进行安全大检查和反病毒扫描仪,以提升保护。建议使用Deep Confidence Security Awareness + Firewall + EDR来检测,停止和保护内部网络。