iT邦幫忙

0

疑似新型勒索軟體

小弟今天手上拿到一臺中了勒索軟體的Win7電腦
所有檔案副檔名後全部被加上.[gustafkeach@johnpino.com].ad
並且每個資料夾都留有Read_to_Restore_File.html的文件(如附圖)
點我看圖
查看了一下檔案被更動的時間是凌晨4:50分左右
網路上搜尋了一下資料,有資料顯示這個病毒是GlobeImposter的變種
也有人歸類在GlobeImposter 2.0裡,但試過GlobeImposter的解碼器無法解鎖
網站No more Ransom也無法判別
有趣的事情是關於這個病毒的所有解法兼自家防毒軟體廣告文章發布時間都是在這兩天內
不知道是否有前輩對於這方面有所研究,如果有需要,小弟能提供被加密的檔案供檢測

----後續更新----
檢視了事件檢視器的紀錄,有一些小發現,但不確定是不是跟這次攻擊有所關係。

  1. 被攻擊電腦的隔壁電腦,長期會以Type3的形式,平均一分鐘不到就進行登入登出的活動,每次登入的port都不一樣,有port號遞增的情形,登入處理程序是NtLmSsp,驗證封裝為NTLM,名稱是NTLM V1
  2. 有一個登入的紀錄在被攻擊的前一天中午,當時有一個type10的登入從52.174.144.150,從56823port登入。另外有一個紀錄一樣是type10,從185.81.128.79的33076port登入,兩筆記錄都在約半分鐘後登出,查一下ip位址,52.x的那個不知道是荷蘭還是美國的ip,185.x的那個來自拉脫維亞。185.x的那個ip在文件被更動的時間點前9分鐘又登入了一次,登入時間一樣是維持半分鐘。
  3. 另外有幾筆顯示Windows防火牆驅動程式已成功啟動及防火牆服務已成功啟動的紀錄,但防火牆服務理論上沒關閉過。這個紀錄從5月底跟6月就有出現過
  4. 以及攻擊的前兩天及被攻擊後有出現金鑰檔案的操作紀錄,識別碼是NETWORK SERVICE,提供者是Microsoft Software Key Storage Provider,演算法名稱無法使用,金鑰名稱TSSeckeySet1,他的路徑在C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys裡面,但跟攻擊有沒有關係有待商榷

----108.9.2 再更新----
剛剛查詢了一下開發出GlobeImposter解碼器的emsisoft網站,他們新增了這支病毒分類,https://id-ransomware.malwarehunterteam.com/index.php
我上傳了被勒索的檔案後他們判定為GlobeImposter 2.0,我已經訂閱,等待有大神解出他的破綻了QQ
另外也發現有其他中毒出現的加密副檔名一樣是一個email+不知名的檔案類型,在這個網站上可見端倪https://www.pcissuessolution.com/?s=remove+virus
目前只歸納出這個攻擊手法是從RDP的漏洞進行攻擊,並未有實際的解法。

看更多先前的討論...收起先前的討論...
有興趣,但我希望是勒索軟體的本體檔案
其實我不確定哪個才是本體,因為被綁架的當下沒有人在操作電腦,所以也不知道是哪個檔案出問題。
檢視了事件檢視器的紀錄,有一些小發現,但不確定是不是跟這次攻擊有所關係。
1. 被攻擊電腦的隔壁電腦,長期會以Type3的形式,平均一分鐘不到就進行登入登出的活動,每次登入的port都不一樣,有port號遞增的情形,登入處理程序是NtLmSsp,驗證封裝為NTLM,名稱是NTLM V1
2. 有一個登入的紀錄在被攻擊的前一天中午,當時有一個type10的登入從52.174.144.150,從56823port登入。另外有一個紀錄一樣是type10,從185.81.128.79的33076port登入,兩筆記錄都在約半分鐘後登出,查一下ip位址,52.x的那個不知道是荷蘭還是美國的ip,185.x的那個來自拉脫維亞。185.x的那個ip在文件被更動的時間點前9分鐘又登入了一次,登入時間一樣是維持半分鐘。
3. 另外有幾筆顯示Windows防火牆驅動程式已成功啟動及防火牆服務已成功啟動的紀錄,但防火牆服務理論上沒關閉過。這個紀錄從5月底跟6月就有出現過
4. 以及攻擊的前兩天及被攻擊後有出現金鑰檔案的操作紀錄,識別碼是NETWORK SERVICE,提供者是Microsoft Software Key Storage Provider,演算法名稱無法使用,金鑰名稱TSSeckeySet1,他的路徑在C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys裡面,但跟攻擊有沒有關係有待商榷
甲土豆 iT邦新手 5 級 ‧ 2019-08-29 17:22:57 檢舉
水喔,你加油
4
十年肯
iT邦新手 5 級 ‧ 2019-08-30 05:22:32

公司的RDP主機在8/26也被駭入,
被駭的網域帳號原先有設定登入時會掛載網路磁碟機連接到檔案伺服器,
導致檔案伺服器下此帳號有權限能寫入的檔案有約30%被加密
被加密的檔案有出現跟樓主相似的副檔案字串
如圖
不過並沒有發現在資料夾下有索賄文字檔

很納悶的是該RDP主機在內建的防火牆有設定只有限定某幾個IP才能存取該RDP主機
且微軟5月公布的RDP漏洞安全更新也已經安裝
不過內建防火牆卻沒有擋下來這些白名單以外的IP
8/26當日AM6:40就有來自葡萄牙的IP(82.102.21.212)用被駭的網域帳號成功登入此RDP主機,
並執行一個名為AntiRecuvaAndDB.exe的程式來加密各磁碟區下有寫入權限的檔案

駭客還上傳了一些工具,應是用來取得目前登入該主機的帳號密碼

目前作法是在Router上針對RDP主機設定IP存取白名單
將能登入到RDP主機的帳號設定到最少,並將被駭的帳號暫時停用

最近針對RDP主機攻擊的消息頻傳,公司有RDP服務主機的得留意一下了

joedane iT邦新手 5 級 ‧ 2019-08-30 09:25:38 檢舉

能請問系統是用哪種?WIN 7、WIN 8、WIN 10

十年肯 iT邦新手 5 級 ‧ 2019-08-30 12:00:15 檢舉

OS是Win2008 R2
以往安全措施沒做好,設定網域內的帳號都能連到這台RDP,且沒有限制連線IP
導致可能至少有三個帳號被暴力試出密碼

0
secsabrina
iT邦新手 5 級 ‧ 2019-08-30 11:34:39

顯然白名單誤判.進階安全系統沒採購完全.遠端RDP主機須裝

還有網路安全軟體或硬體功能把未知程式及檔案放出去了
是時候要叫各家防毒軟POC了
私訊我

0
frankychen
iT邦新手 3 級 ‧ 2019-09-02 09:20:10

這一支應該是 GlobeImposter

但是這支用GlobeImposter的解碼器無法解決

剛剛查詢了一下開發出GlobeImposter解碼器的emsisoft網站,他們新增了這支病毒分類,https://id-ransomware.malwarehunterteam.com/index.php
我上傳了被勒索的檔案他們判定為GlobeImposter2.0,我已經訂閱,等待有大神解出他的破綻了QQ
另外也發現有其他中毒出現的加密副檔名一樣是一個email+不知名的檔案類型,在這個網站上可見端倪https://www.pcissuessolution.com/?s=remove+virus
目前歸納這個攻擊手法是從RDP的漏洞進行攻擊。

我要發表回答

立即登入回答