近日,深信服安全团队接到一起勒索病毒入侵事件反馈,用户发现web服务器业务中断,立刻重启服务器后使用深信服EDR查杀隔离病毒,结束加密进程,及时止损。经分析,该勒索病毒名为Medusa Ransom,最早于2018年在国外活动,加密后会修改桌面背景为古希腊神话中蛇发女妖“美杜莎”的图片:
加密文件的同时也加密文件名,并以.[[email protected]]作为后缀,释放勒索信息#DECRYPT MY FILES#.TXT:
分析发现,该勒索病毒加密时是从Z-A遍历目录,并且优先加密数据库相关目录,正是由于这一特点,用户在发现WEB目录被加密,业务出现中断后立即进行响应查杀,成功避免服务器被全盘加密。
一、情报关联
“美杜莎”是古希腊的蛇发女妖,传说凡看见她的眼睛者皆会被石化,国外勒索病毒作者喜好取其“石化”的含义来作为病毒的名称,早在今年2月,深信服安全团队曾报道过一款攻击政企用户的Gorgon勒索,也同样运用了“美杜莎”来作为标志:
《FilesLocker变种:Gorgon(蛇发女妖)勒索病毒感染政企系统》
https://mp.weixin.qq.com/s/X-vOWUe1HtCSJ-ygnY2vMg
通过威胁情报关联,本次捕获的Medusa Ransom最早于2018年10月就被编译,但相关的攻击活动却很少,仅在2018年11月国外论坛上出现过一例被勒索的求助信息:
直至2019年7月,再次在国内某安全论坛上发现一例该勒索病毒的求助,由此推测,该勒索病毒的运营者很可能将目标转向了中国用户:
本次攻击事件中与勒索病毒一同被发现的还有一枚后门程序,与勒索病毒一样在C:\Windows目录下伪装成“svchost.exe”,在对受害服务器进行排查时,排除了RDP暴力破解入侵的途径,由此推测该勒索很可能是通过webshell上传后门进行投递的:
二、后门文件分析
该文件采用动态解密数据和获取API的方式试图躲避检测,解密DLL文件释放到内存进行调用:
拷贝自身到C:\Windows目录,文件名以六个随机字母命名:
创建服务,通过服务启动:
该后门程序包含键盘记录功能:
连接域名“speedhacker.vicp.net”,端口2016,接收指令和传输数据:
同时在后门程序中发现一个C2域名为3600hk.no-ip.org,但并没有使用到,通过对该域名一顿“人肉”,在一条远控去后门的帖子中发现该域名的踪迹,原来是马中马的控制端:
三、Medusa勒索病毒分析
解密两次payload,第二次解密出来的是一个Delphi写的PE文件,跳转到入口点开始执行。该PE文件首先会调用cmd.exe将自身复制到%appdata%、svchost.exe:
调用mshta.exe进程执行一段javascript,功能是将svchost.exe添加到注册表自启动:
终止可能影响加密文件的进程:
taskmgr.exe;ccleaner.exe;ccleaner64.exe;regedit.exe;anvir.exe;anvir64.exe;cscript.exe;wscript.exe;powershell.exe;procexp.exe;far.exe;agntsvc.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;agntsvc.exeisqlplussvc.exe;dbeng50.exe;dbsnmp.exe;excel.exe;firefoxconfig.exe;infopath.exe;isqlplussvc.exe;msaccess.exe;msftesql.exe;mspub.exe;mydesktopqos.exe;mydesktopservice.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;ncsvc.exe;ocautoupds.exe;ocomm.exe;ocssd.exe;onenote.exe;oracle.exe;outlook.exe;powerpnt.exe;sqbcoreservice.exe;sqlagent.exe;sqlbrowser.exe;sqlserver.exe;sqlservr.exe;sqlwriter.exe;steam.exe;synctime.exe;tbirdconfig.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe;xfssvccon.exe;
跳过下列系统相关目录不进行加密:
\$RECYCLE.BIN\;\All Users\;\AppData\;\Application Data\;:\System Volume Information\;:\Windows\; ALLUSERSPROFILE;APPDATA;ProgramData;WINDIR;
从Z开始向前遍历磁盘,优先遍历根目录下的下列目录进行加密:
Microsoft\Exchange Server\;Microsoft SQL Server\;Firebird\;MSSQL.1\;Microsoft SQL Server Compact Edition\;Adobe\;Oracle\;Archive;Backup;Reserv;Restore;
遍历目录加密文件,并在每个目录释放勒索信息#DECRYPT MY FILES#.TXT:
四、解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。