• 关于我们
  • 数据中心
  • 文章资讯
  • 客服中心
  • 支付中心
  • 联系我们
  • 关于锐讯

    成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

    Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重
    时间:2019.07.22   作者:网络   阅读:80

    近日,深信服安全团队捕获到一起利用Trickbot下发Ryuk勒索病毒的攻击事件。Ryuk勒索病毒最早于2018年8月被安全研究人员披露,名称来源于死亡笔记中的死神。该勒索病毒运营团伙最早通过远程桌面服务等方式针对大型企业进行攻击。

     

    Ryuk勒索病毒界面如下:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    起初由于代码结构与Hermes勒索病毒十分相似,研究人员将Ryuk勒索事件归因于朝鲜的APT组织Lazarus。随后,国外安全团队发现了针对已经被TrickBot攻击的受害者的Ryuk勒索活动,由此关联出Ryuk勒索事件实为俄罗斯黑客组织GRIM SPIDER所为。

    虽然TrickBot被称为银行木马,但其银行业务能力仅仅是其众多能力之一。它能够利用共享和MS17-010漏洞进行内网传播,并且与C2万博手机登录通信以收集敏感数据和接收命令。一旦攻击者利用其下发Ryuk勒索软件,所有受到感染的设备文件都将被加密,造成不可估量的损害。

    Trickbot银行木马进行了几次不同的迭代,本次攻击事件中深信服安全团队捕获到的木马功能如下:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    排查过程

    在被勒索主机中,发现了几个可疑exe文件,包括以俄语命名的文件,如下:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    经分析,其中的”TVjKa.exe”为Ruyk病毒文件,其余则为TrickBot木马,可以看到有系统进程存在大量不正常的外连行为:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    排查其他未被勒索的主机,发现内网主机已经大量感染TrickBot木马,且植入时间为2018年12月22号,潜伏时间长达半年之久,一旦攻击者利用该木马全面下发勒索病毒,将给企业带来巨额损失:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    Ryuk勒索病毒分析

    1. 获取系统版本进行判断:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    2. 线程中循环监控终止xchange相关进程及查找spooler相关服务进行删除:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    3. 提升进程权限:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    4. 获取进程的登录用户信息:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    5. 查找"csrss.exe"、"explorer.exe"、"lsaas.exe"进程中的一个进行注入:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    6. 提升注入进程的权限:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    7. 生成AES密钥并使用RSA公钥进行加密:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

    8. 遍历磁盘,对文件进行加密:

    狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重

     
     

    解决方案

    针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

    病毒防御

    深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

    1、及时给电脑打补丁,修复漏洞。

    2、对重要的数据文件定期进行非本地备份。

    3、不要点击来源不明的邮件附件,不从不明网站下载软件。

    4、尽量关闭不必要的文件共享权限。

    5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

    6、如果业务上无需使用RDP的,建议关闭RDP。

    最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

     

    以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持锐讯网络


  • 支付方式
  • 客服中心

  • 售前在线咨询

    以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

    售后服务

    或与官方提供的专属QQ一对一直接服务

    工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

    客户投诉留言

    电话和QQ,以便我们为您提供优质服务! *为必填项