当前位置:首页 > 网络安全 > 正文内容

勒索病毒开发者(勒索病毒开发者抓到了吗)

hacker2年前 (2022-08-06)网络安全163

一、家族简介

撒旦(Satan)病毒是一款恶意勒索程序,首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。

Satan勒索病毒主要用于针对服务器的数据库文件进行加密,非常具有针对性,当文件的后缀名为:

mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp

时,则加密相应的文件,如果后缀是如下列表:

cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk

则不加密文件。

二、家族发展演变史第一代撒旦(Satan)勒索病毒

2017年1月份,国外某安全研究人员,在Twitter发布了一款新型的利用RaaS进行传播的勒索病毒,如下:

此勒索病毒允许任何人通过注册一个帐户,就可以在其网站上创建他们自己的定制版的撒旦(Satan)勒索病毒,相关的暗网网站域名如下:

satan6dll23napb5.onion (目前该网站已关闭)

第二代撒旦(Satan)勒索病毒

2016年Shadow Brokers入侵NSA下属Equation Group,并最终于2017年4月14晚,Shadow Brokers在互联网上发布了之前获得的NSA方程式黑客组织的部分文件,包含针对windows操作系统以及其他服务器系统软件的多个高危漏洞工具(永恒之蓝)等。

展开全文

2017年5月12日,WannaCry爆发,随后又有多起利用永恒之蓝的勒索病毒出现,如:

NotPetya等,它们都使用了永恒之蓝漏洞用于在内网中迅速传播,扩大感染面,而且勒索支付率较高,此时撒旦(Satan)勒索病毒制作团伙,也看准了这个机会,于是暗中开发出它们的更新版本,于2017年11月左右更新出了利用永恒之蓝传播的撒旦(Satan)勒索病毒最新变种。

2017年12月份,国外安全研究人员在Twitter更新了撒旦(Satan)勒索病毒的最新进展,发现其利用了永恒之蓝进行传播,如下:

2018年4月份,国内安全厂商都监控到了大量的撒旦(Satan)病毒传播,于是发布了相关的公布和预警,深信服EDR安全团队也第一时间跟进了此事,并对Satan的变种进行了相关的报道,如下:

勒索病毒开发者(勒索病毒开发者抓到了吗)

撒旦(Satan)勒索病毒最新的变种,相对于第一版的RaaS的撒旦(Satan)勒索病毒,不仅仅使用了永恒之蓝漏洞进行传播,而且其更具有针对性,只加密服务器中相应的数据库文件,不加密其它类型的文件,同时勒索病毒会使用三种语言显示勒索信息,如下:

第三代撒旦(Satan)勒索病毒

2018年5月底出现了撒旦(Satan)勒索病毒的最新的变种,它不仅仅利用了永恒之蓝漏洞,还利用了多个WEB相关的漏洞进行传播,国外某安全厂商也对相关的样本进行了跟踪分析,同时深信服EDR也跟踪了此事,并在公司内部发布了相应的预警报告,如下:

同时我们从撒旦勒索病毒的一个远程恶意服务器上发现了相应的样本以及各种内网传播工具包,如下所示:

从上可以发现,黑客服务器上各种内网传播的相关漏洞利用工具、脚本等,第三代撒旦勒索病毒,加密使用的后缀未发生改变,同样使用.satan,传播方式,不仅仅利用永恒之蓝进行传播,同时也利用了多个WEB利用漏洞进行传播,相关的WEB漏洞列表如下:

JBoss反序列化漏洞(CVE-2017-12149)

JBoss默认配置漏洞(CVE-2010-0738)

Put任意上传文件漏洞

Tomcat web管理后台弱口令爆破

Weblogic WLS 组件漏洞(CVE-2017-10271)

JBoss反序列化漏洞(CVE-2017-12149)

JBoss默认配置漏洞(CVE-2010-0738)

Put任意上传文件漏洞

Tomcat web管理后台弱口令爆破

Weblogic WLS 组件漏洞(CVE-2017-10271)

最近MalwareHunterTeam发现了一款新型的Satan勒索病毒DBGer勒索病毒,其属于撒旦(Satan)勒索病毒的最新的变种样本,不仅仅利用了之前的一些安全漏洞,同时还加上了Mimikatz的功能,如下:

其加密后的文件后缀名变为了.dbger

撒旦(Satan)勒索病毒经过一年多的变化,其传播方式不断在发生改变,黑客的主要目的就是为了扩大感染面积,提高赎金的支付率,下表为该勒索病毒四次版本的比较:

三、发展趋势与预防措施

2017年勒索病毒爆发的一年,由于永恒之蓝漏洞的公开,导致勒索病毒可以在内网中迅速传播,大量用户中招,有人说2018年勒索病毒不流行了,事实上,从我们监控的数据可以发现勒索病毒在2018年仍然非常流行,基本上每天都会有新的变种或新的家族出现,仍然是恶意软件中最严重的威胁,深信服EDR安全团队,通过深入分析研究了十几款勒索病毒家族,从中得出了2018年上半年最流行的最新勒索病毒“四大家族”,分别是:

1.Globelmposter勒索病毒

2018年3月份在国内各大医院爆发,主要通过RDP爆破的方式植入,到目前为止,短短几个月的时候内,已经发现多个此勒索病毒的变种样本,其加密后的文件后缀多达十几个之多,目前仍然不断有新的医院受到此勒索病毒的攻击。

2.CrySiS勒索病毒

2018年3月爆发,国内数台服务器文件被加密为.java后缀的文件,采用RSA+AES加密算法,主要通过RDP爆破的方式植入,同时此勒索病毒在最近也不断出现它的新的变种,其加密后缀也不断变化之中。

3.GandGrab勒索病毒

GandGrab勒索家族是2018年1月首次才出现的,应该算是勒索病毒家族中的最年轻,但是最流行的一个勒索病毒家族,短短几个月的时候内,就出现了多个此勒索病毒家族的变种,而且此勒索病毒使用的感染方式也不断发生变化,使用的技术也不断在更新,此勒索病毒主要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件无法还原。

4.Satan勒索病毒

Satan勒索病毒最新的几款变种,主要通过RDP爆破的方式植入服务器,主要针对服务器的数据库文件进行加密,而且不断增加各种内网传播的技术,利用了永恒之蓝等多个漏洞,增加感染面积,可见背后的黑客团伙不断地在更新此勒索病毒的内网传播手段。

以上“四大家族”可以称得上是2018年上半年最流行最活跃的勒索病毒家族,不断接到客户反馈被以上勒索病毒攻击,一部分用户只能去找黑客,试图还原文件,目前此“四大家族”勒索病毒加密后的文件均无法还原。

深信服EDR安全团队,一直在密切关注跟踪监控各类勒索病毒的发展,同时尽量在第一时间拿到相关的勒索病毒样本,对样本进行详细深入的分析,同时在深信服EDR产品中增加相应的防御措施,并共享相应的情报给深信服其他安全类产品(SIP/AF)团队,共同防御各种恶意攻击,目前深信服EDR能有效检测及防御一百五十多种相应的勒索病毒家族及变种,部分截图如下:

恶意样本威胁一直是终端安全最需要解决的问题之一,目前各个平台的恶意样本,基本情况如下:

Windows平台:勒索病毒、挖矿病毒、各类APT(RAT类商业间谍活动)为主

Linux平台:DDOS攻击,挖矿病毒为主

Android/iOS平台:盗号、刷流量、钓鱼,DDOS为主

IoT平台:以Mirai变种利用IoT漏洞的DDOS攻击为主

Mac平台:盗号,后门,勒索为主

Windows平台:勒索病毒、挖矿病毒、各类APT(RAT类商业间谍活动)为主

Linux平台:DDOS攻击,挖矿病毒为主

Android/iOS平台:盗号、刷流量、钓鱼,DDOS为主

IoT平台:以Mirai变种利用IoT漏洞的DDOS攻击为主

Mac平台:盗号,后门,勒索为主

2018年勒索病毒仍然是Windows终端安全最大的安全威胁之一,它严重影响受害者的正常业务,其中感染方式也在不断的更新中,各类安全风险也一直存在:

(1) 有多少个勒索病毒黑产团伙?

(2) 外界有多少台服务器存在RDP爆破的风险?

(3) 外界有多少台主机没有打上相应的安全补丁,存在安全风险?

(4) 员工的安全意识是否足够?随意打开下载邮件附件,被钓鱼?随意在第三方或不明网站下载各种软件?

……

(1) 有多少个勒索病毒黑产团伙?

(2) 外界有多少台服务器存在RDP爆破的风险?

(3) 外界有多少台主机没有打上相应的安全补丁,存在安全风险?

(4) 员工的安全意识是否足够?随意打开下载邮件附件,被钓鱼?随意在第三方或不明网站下载各种软件?

……

如何有效的御防未知的安全风险,再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁,修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁,修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码

勒索病毒开发者(勒索病毒开发者抓到了吗)

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/133865.html

分享给朋友:

“勒索病毒开发者(勒索病毒开发者抓到了吗)” 的相关文章

洗米华小三(浅谈米花三笑的微博)

据长江网2021年11月26日23:49:22的最新消息,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,洗米华小三。猜测这是洗米华在暗中帮助着Mandy。挺想看他老婆小三都抛弃他的场面。 1.洗米华小三 m...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

安宫牛黄丸 - 北京同仁堂安宫牛黄丸

能降低惊厥和死亡率,天然牛黄天然麝香。对突然脑埂塞,并且只有北京同仁堂生产的安宫牛黄丸才可以使用,北京同仁堂集团顾问金霭英老人说,局方至宝丹、与作用是清热解毒。 4月30之前是350元.重镑产品,公元1541年。平时还是要遵医嘱服用适合自己的降压药。同仁堂的安宫牛黄丸使用的是老方子,黄芩。 北京同仁...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

一年黄金价格走势图(黄金价格实时走势图分析

2019年金价将迎来上涨荷兰银行,2018年黄金市场或许不会有太好的表现,是一种软的,你可以随时来平台内查询。 金道贵金属,日交易k线图构成周交易k线图,此时段间,即开始疲软下跌,2016年06月06日老凤祥价格可,黄金价格走势K线图盘面,整体的价格走势是由每天的交易组成的,24kinfo这个平台的...

评论列表

嘻友喵叽
2年前 (2022-08-06)

种相应的勒索病毒家族及变种,部分截图如下:恶意样本威胁一直是终端安全最需要解决的问题之一,目前各个平台的恶意样本,基本情况如下:Windows平台:勒索病毒、挖矿病毒、各类APT(RAT类商业间谍活动)为主Linux平台

莣萳谨兮
2年前 (2022-08-06)

一、家族简介撒旦(Satan)病毒是一款恶意勒索程序,首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。Satan勒索病毒主要用于针对服务器的数据库文件进行加密,非常具有针对性,当文件

嘻友温人
2年前 (2022-08-06)

毒,相关的暗网网站域名如下:satan6dll23napb5.onion (目前该网站已关闭)第二代撒旦(Satan)勒索病毒2016年Shadow Brokers入侵NS

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。