/ 2018-11-02
近日,凯发登录-凯发注册网站安全团队在分析安全云脑全网威胁数据时,发现了国内出现一新勒索家族krakencryptor,版本号为krakencryptor2.0.7,为目前发现的最新版本。krakencryptor2.0.7使用rsa aes加密算法,加密后缀也随机生成。
从10月22号以来,陆续有用户受该病毒感染,病毒处于活跃状态,未来很有可能呈现爆发趋势。深信服紧急预警,提醒广大用户做好防御措施,警惕krakencryptor勒索病毒。
病毒名称:krakencryptor2.0.7
病毒性质:勒索病毒
影响范围:从10月22号起发现国内陆续有用户受感染
危害等级:高危
传播方式:krakencryptor勒索家族主要通过垃圾邮件、远程爆破方式进行传播,krakencryptor2.0.7可利用fallout漏洞进行传播。
病毒分析
01、病毒描述
kraken cryptor家族是一个用.net框架编写的勒索软件,在国外较为流行。本次在国内首次出现的krakencryptor2.0.7, 采用rsa aes加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。
krakencryptor2.0.7传播方式主要通过远程爆破、垃圾邮件、以及fallout漏洞进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击。
02、样本分析
1、样本是用.net框架编写的,并且经过混淆,如下图所示:
▲样本被混淆
2、跟一般勒索软件类似,该版本也会给受害者设定一个缴纳赎金的时限,超过一个周以后就会涨价。并且一周涨价算的是自然周,而不是根据受害者被加密时间开始算。
▲缴费(勒索)倒计时
3、krakencryptor2.0.7通过 rsa aes进行加密,加密后缀也随机生成,其支持加密的文件后缀,一共有422种。
▲支持加密的部分文件后缀
4、样本会通过https://ipinfo.io网站来确认受害者ip的位置。
▲收集受害者ip的物理位置
5、收集受害者系统版本、mac地址、本地磁盘信息,并生成rsa和aes密钥。
▲生成加密密钥
6、获取受害者的默认输入法,通过输入法语言对部分区域进行免疫(不加密),中国不在免疫区域内。
7、注册表项,新增一个wordload的键,用来作为加密记录。如果wordload的值为1,就退出。
▲注册表项
8、如果不在免疫区域列表当中,就会进入加密流程。样本会向https://2no.co/2svja5这个url发送自己的ip物理地址。由于这个url是个短连接,还原以后是https://www.bleepingcomputer.com/,bleepingcomputer是一个提供安全技术和信息的网站。
▲访问bleepingcomputer
9、生成256位aes密钥,并使用cbc模式加密文件。加密后的文件会直接将原文件覆盖,然后再重命名。
▲重命名加密后的文件
10、加密完以后样本进行自删除,避免被安全人员分析。
▲样本自我删除
11、最后更换桌面背景给受害者进行勒索提示。
▲桌面提示
凯发登录的解决方案
深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2、深信服edr产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、深信服下一代防火墙客户,建议升级到af8.0.5版本,并开启智能安全检测引擎save,以达到最好的防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 下一代防火墙 edr,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系凯发注册网站,获取关于krakencryptor的免费咨询及支持服务:
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)pc端访问深信服区 ,选择右侧智能客服,进行咨询