门头沟| 江宁| 江源| 天镇| 陆丰| 温宿| 虎林| 吴川| 承德县| 乡宁| 微山| 同安| 嘉善| 鹰潭| 金坛| 彭州| 神农架林区| 攸县| 河北| 贵池| 嘉定| 山丹| 勃利| 垫江| 伊川| 大连| 南召| 李沧| 龙江| 碾子山| 合肥| 赫章| 安西| 乌达| 李沧| 佳县| 南浔| 盈江| 安陆| 依兰| 围场| 清远| 电白| 昭通| 肇州| 相城| 新干| 林周| 迁安| 商丘| 科尔沁左翼中旗| 大关| 五华| 翁源| 若尔盖| 中卫| 张家港| 北海| 璧山| 醴陵| 南皮| 临湘| 荆门| 绥阳| 平远| 潮安| 克拉玛依| 松江| 淮安| 海盐| 南和| 乌恰| 福贡| 昌吉| 丰城| 佛冈| 肇庆| 青岛| 东海| 天峨| 呼图壁| 青县| 兰坪| 政和| 韶山| 科尔沁左翼中旗| 滨州| 高阳| 蓝山| 霍山| 上林| 乐都| 鄂温克族自治旗| 金乡| 吐鲁番| 台中县| 吉水| 乐亭| 平度| 博鳌| 户县| 海沧| 富顺| 蕉岭| 昭平| 阜城| 本溪市| 新安| 苏尼特左旗| 叶城| 望都| 琼山| 零陵| 上饶市| 崇信| 宿迁| 温江| 那曲| 潮阳| 绥阳| 延寿| 麻栗坡| 庆元| 勉县| 莱西| 商南| 南城| 达坂城| 渭南| 寻甸| 连山| 马尔康| 武邑| 伊川| 定远| 定西| 霍山| 宽城| 张湾镇| 曲周| 莫力达瓦| 平南| 丹东| 环县| 梅河口| 阿鲁科尔沁旗| 云龙| 魏县| 新郑| 襄樊| 沭阳| 林芝县| 大同区| 恭城| 青县| 中卫| 噶尔| 灵武| 新绛| 湘乡| 大城| 宁河| 广灵| 广元| 龙泉| 建平| 茌平| 永清| 海安| 罗城| 务川| 漳平| 常熟| 凤凰| 邢台| 盘锦| 前郭尔罗斯| 阳东| 额济纳旗| 大名| 嘉鱼| 绩溪| 防城区| 富顺| 赤峰| 安徽| 新干| 安新| 宁陕| 老河口| 边坝| 南漳| 兴山| 峨眉山| 双城| 宁蒗| 蕲春| 江阴| 富顺| 杂多| 嘉定| 索县| 彭州| 朔州| 揭阳| 米泉| 台儿庄| 武宁| 乌海| 武城| 华池| 洞口| 图木舒克| 赫章| 临漳| 洛宁| 芒康| 平武| 申扎| 单县| 邢台| 旬阳| 通州| 常德| 墨脱| 垦利| 利津| 宽城| 乐业| 杭锦旗| 浦北| 大荔| 茄子河| 赤城| 武清| 林周| 北京| 碾子山| 香河| 龙泉驿| 安仁| 蚌埠| 广德| 化隆| 代县| 新建| 沛县| 澄江| 铜鼓| 岢岚| 合川| 清丰| 白河| 安化| 裕民| 珲春| 伊宁县| 畹町| 德化| 襄樊| 白水| 吉安市| 连江| 罗平| 武汉论坛

【预警】勒索病毒Ouroboros开学来袭,持续更新惹人关注

互联网
2019
09/03
14:07
分享
评论
论坛资讯 虽然有时她也想到好的地方任教,也时常感受到一个人在此教书的孤单,但想到这里的孩子就有了继续坚持下去的勇气与动力,那孤单也就淡了。 论坛资讯 9月16日是国际保护臭氧层日。 创业 1947年8月,根据党中央和毛主席的战略部署,刘邓大军挥师南征,千里跃进大别山,建立了以大别山为中心的中原解放区,实现了解放战争由战略防御转入战略进攻的伟大历史转折。 母婴在线 岸门口镇 思维车 八道河子镇 母婴在线 白马河

【亚信安全】-【2019-09-21】近日,亚信安全截获全新勒索病毒Ouroboros,此勒索病毒在加密文件完成后会添加.[ID=十位随机字符][Mail=unlockme123@protonmail.com].Lazarus的后缀,亚信安全将其命名为Ransom.Win32.OUROBOROS.SM。随着深入的分析,安全专家发现了黑客使用的FTP服务器,服务器上还存有Ouroboros勒索病毒变种文件,安全专家推测该勒索病毒目前正处在持续更新中,亚信安全将会持续关注该勒索病毒的动态。

勒索病毒Ouroboros详细分析

安全专家分析发现,该勒索病毒源文件并未加壳:

使用IDA打开此文件,加载符号文件时发现病毒作者编译程序留下的符号文件位置,以此确定此勒索病毒为Ouroboros:

初步分析,该勒索病毒中有大量的反调试函数,或者通过函数中包含return函数的形式增加病毒分析难度:

进入到程序关键函数,该勒索病毒会调用PowerShell程序,通过vssadmin delete shadows /all /y命令删除卷影副本:

然后加载病毒中需要的信息,如邮箱信息,生成ID:

在地址40A000的位置,安全专家发现勒索病毒会进行进程遍历,关闭与数据库相关的进程:

该病毒使用了SFML(Simple and Fast Multimedia Library)网站的一个资源:http[:]//www[.]sfml-dev[.]org/ip-provider.php

访问此网址后,可以获取到访问者的公网IP地址(图中红框位置为get请求包内容):

然而在此勒索病毒中,此网站成了用来获取受害者IP的工具(为了正常分析,我在本地搭建了一个web,通过hosts将sfml-dev[.]org指向本地,图中地址为本地web环境伪造的响应地址):

该病毒会尝试建立与主机176.31.68.30的连接,等到程序收集了IP、ID、磁盘使用情况和key的信息后,一并发送给主机176.31.68.30,并且等待返回包。

该病毒不会在主线程中直接进行加密操作,而是将加密逻辑的函数地址作为参数传递给新创建的线程,新线程中获取到对应参数,再进行跳转执行。加密逻辑会遍历磁盘上的文件夹,检查是否是Windows目录以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合条件,避免对这些文件或者目录下的文件进行加密操作

否则其会读取文件内容,开始在内存中对文件内容进行加密:

文件内容加密完成后,其会创建以下后缀的文件:[ID=十位随机字符串][Mail=unlockme123@protonmail.com].Lazarus

然后,其将加密内容写入创建的带后缀的文件中,随后删除未被加密的源文件:

完成勒索后,释放勒索信息的文件Read-Me-Now.txt,文件内容如下:

普通勒索病毒到这里可能就已经完成了所有逻辑,但是安全专家做了静态分析后发现,此病毒还会触发ftp连接的操作,从176.31.68.30的ftp上下载名为uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,启动新的进程来执行此文件:

安全专家对下载的Uiapp.exe文件进行了简单的分析,发现此程序没有明显的恶意行为,仅仅只是为了更加醒目的显示勒索信息:

双击执行后,桌面会弹出如下的勒索信息界面:

安全专家还在176.31.68.30的ftp中发现了另一个exe文件:crypt.exe(该文件被检测为Ransom.Win32.OUROBOROS.AA),依据文件名安全专家怀疑该文件是此次勒索病毒最初的来源,所以将crypt.exe文件和安全专家截获的勒索病毒做了hash对比,发现并不一致:

但是经过进一步的分析发现,两者代码块中的内容几乎一致,仅仅只是编译时间上的不同,crypt.exe的文件编译时间较新,据此安全专家怀疑Ouroboros勒索病毒正在持续更新中,未来亚信安全会密切关注。

亚信安全教你如何防范

不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装;尽量关闭不必要的文件共享;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全产品解决方案

亚信安全病毒码版本15.329.60,云病毒码版本15.329.71,全球码版本15.329.00已经可以检测,请用户及时升级病毒码版本。

IOCs

MD5:

87283fcc4ac3fce09faccb75e945364c

e3caef2e2bdc4b08d625d4845f3205b6

THE END
广告、内容合作请点击这里 寻求合作
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

相关推荐

1
3
天津新村 都日布勒吉嘎查 响溪尾 洪冠镇 向远香 后屯村 土桥镇 东仝村委会 山碧村
稻田四村 青神县 庆云县 宕昌县广州市 顺义老年公寓 风化店乡 上达 碑林区 罗家坟村
姚坳 火磨街道 徐台 桂林路进德里 石羊场 崇明 前芳嘉园胡同 获嘉 卡诺尔 新广路汇和家园社区服务中心
https://www.whr.cc/bbsitemap.htm