FavoriteLoading
0

當心穿VB馬甲的新型勒索病毒Tater!

事件描述

一、行為概述

? ? 近日,深信服安全團隊收到客戶反饋,其服務器遭到勒索病毒攻擊,所有文件數據被加密,加密后綴名為“.tater”。

? ? 此次攻擊的為一種新型的勒索病毒,除了豁免少數幾個系統文件夾以外,其會對其他目錄的所有后綴的文件進行無差別加密,同時該病毒還加了一層VB程序外殼進行偽裝。由于加密算法采用了RSA+AES的方式,暫時無法解密。

勒索信息:

加密后文件:

二、入侵分析

文件加密時間為2019/3/26 6:43左右:

排查日志發現,服務器在2019/3/26 6:39:21被遠程登錄過,登錄IP為一個內網IP地址:

黑客登陸后放入進程管理工具Process Hacker用來結束系統中的安全軟件,然后放入病毒到[email protected]文件夾進行勒索:

三、詳細分析

主程序代碼結構,如下所示:

查詢程序自身資源數據,如下所示:

在內存中解密出相應的數據,如下所示:

創建子進程,調用程序,如下所示:

創建的子進程,如下圖所示:

勒索的核心代碼被加載到內存中執行,從內存中DUMP出勒索加密的Payload,如下所示:

通過判斷操作系統語言,對指定區域進行豁免,包括:俄羅斯、哈薩克、白俄羅斯、烏克蘭、韃靼:

刪除磁盤卷影:

結束指定進程:

 

進程列表如下:

sqlwriter.exe、sqlbrowser.exe、sqlservr.exe、TNSLSNR.EXE、mysqld.exe、MsDtsSrvr.exe、sqlceip.exe、msmdsrv.exe、mpdwsvc.exe、fdlauncher.exe、Launchpad.exe、chrome.exe、oracle.exe、devenv.exe、PerfWatson2.exe、ServiceHub Host Node x86.exe、Node.exe、Microsoft VisualStudio Web Host.exe、Lightshot.exe、netbeans64.exe、spnsrvnt.exe、sntlsrtsrvr.exe、w3wp.exe、

TeamViewer_Service.exe、TeamViewer.exe、SecomSDK.exe、schedul2.exe、schedhlp.exe、adm_tray.exe、EXCEL.EXE、MSACCESS.EXE、OUTLOOK.EXE、POWERPNT.EXE、AnyDesk.exe、Microsoft SqlServer IntegrationServices MasterServiceHost.exe、Microsoft SqlServer IntegrationServices WorkerAgentServiceHost.exe從程序中解密出RSA公鑰1:

生成一對新的RSA公鑰2和私鑰2:

使用公鑰1加密私鑰2,并base64編碼:

將公鑰2與編碼后的私鑰2寫入文件%appdata%\_uninstalling_.png,如下:

加密共享文件:

加密磁盤文件:

將勒索信息寫入文件“#HOW TO DECRYPT#.txt”:

豁免以下目錄:Windows、$Recycle.bin、System Volume Information

生成AES密鑰并用公鑰2加密:

用AES加密文件,然后將加密后的AES密鑰寫入到加密后的文件中:

加密后的文件加上后綴“.tater”:

解決方案

? ? 針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

病毒檢測查殺

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。