▲加密完成后在桌面及加密根目录释放勒索信息文件

病毒描述

该勒索病毒主要利用全套黑客工具包对内网主机进行渗透，人工投放勒索病毒进行加密。在被勒索的主机上获取到攻击者留下的全套黑客工具包，包含从密码收集到远程登录等一系列内网渗透工具，可谓是一应俱全，其中包含较为小众的AutoMIMI、Lazy、rdp_con、gmer等工具，甚至包含名为!RDP的快捷方式，用于启动本地远程桌面连接：

黑客工具包包含：

密码抓取：AutoMIMI、mimi、netpass64.exe、Lazy

内网扫描：masscan、!PortScan、Advanced_Port_Scanner、NetworkShare

密码爆破： NLBrute 远程工具：psexec、!RDP、rdp_con

反杀软工具：gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64

勒索病毒入侵攻击流程：

• 本地提权后，使用mimikatz抓取主机密码，在此过程中，黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。

• 黑客将抓取到的密码加入后续的爆破字典中，原因是管理员一般会将多个服务器的密码设置成相同的，将本机密码加入字典，可以增大爆破的成功率。

• 使用端口扫描器扫描内网中存活的IP，并筛选开放了445和3389端口的主机。

• 对于开放了3389端口的主机，黑客直接使用NLBrute进行爆破用户名和密码。

• 对于只开放了445端口的主机，黑客通过爆破的方式获取主机的账号密码。

• 然后使用psexec上传脚本至目标主机并运行，开启RDP服务。

• 获取到以上爆破成功的主机后，使用rdp_con工具进行批量连接。

RDP连接到受害主机后，黑客会上传一系列反杀软工具，kill杀毒软件，最后运行勒索病毒进行勒索，至此，整个勒索入侵的流程完成。

勒索病毒详细分析

• 勒索病毒文件使用UPX加壳，运行后首先调用了Winexec执行命令行删除磁盘卷影，用于防止用户恢复数据

• 关闭如下服务，避免影响加密

• 遍历进程，结束下列进程，防止进程占用文件影响加密

• 生成密钥，使用RSA算法加密AES密钥，再使用AES算法加密文件

• 在桌面创建一个勒索信息TXT文件，然后通过遍历在每个加密文件的根目录下释放一个勒索信息TXT文件

• 遍历磁盘进行加密，并且对C盘下的目录单独进行判断，跳过系统目录

• 加密完成后进行自删除

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

病毒检测查杀

• 深信服终端检测响应平台（EDR）、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测

• 深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀

病毒防御

• 及时给电脑打补丁，修复漏洞；

• 对重要的数据文件定期进行非本地备份；

• 不要点击来源不明的邮件附件，不从不明网站下载软件；

• 尽量关闭不必要的文件共享权限；

• 更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃；

• 如果业务上无需使用RDP的，建议关闭RDP；

• 当出现此类事件时，推荐使用深信服下一代防火墙，或者EDR的微隔离功能对3389等端口进行封堵，防止扩散；

• 深信服下一代防火墙、EDR均有防爆破功能，下一代防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御；

• 深信服下一代防火墙用户，建议升级到AF805版本，并开启SAVE安全智能检测引擎，以达到最好的防御效果；

• 深信服EDR支持识别市面上大多数的流行黑客工具，并具备主动拦截和禁止运行功能。深信服EDR用户，建议开启勒索防护功能，精准拦截勒索病毒；

• 使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁；

• 深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速扩展安全能力，针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知+下一代防火墙+EDR，对内网进行感知、查杀和防护。