勒索病毒知识库——Cypren勒索病毒

作者:???深信服科技股份有限公司广州办事处 2019/07/08 09:30:57 146次阅读 国际


勒索信息:
9339fbb29646addd648a5d40f07cbe9c.png

07af8a38d0293e92e0cdf611a1ee2d3d.png

加密后缀:ENCRYPTED
effa9384cc562e7010abcf0da5fc5271.png

解密工具:暂无

其他特征:运行后弹框
3a470c53167e0394fa99131b0d0edcf7.png


详细分析
1.获取主机相应的文件目录,如下所示:
e360a6adc1e2e0bc01713dbaca53b636.png
相应的目录列表:
C:\Users\用户名\Desktop
C:\Users\用户名\Downloads
C:\Users\用户名\Documents
2.设定磁盘的名称列表,如下所示:
2d01c291e6a3b9c3c02846326a718d47.png
磁盘名列表:
B、D、E、F、G、H、I、J、K、L、M、N、O、P、C
3.循环遍历磁盘,如下所示:
d6ccb860c1779fa1f3504d5151fc4311.png
4.枚举目录下的文件,如下所示:
5ce6200d612964793d9d12794c63fe3c.png
5.判断相应的目录或文件名包含如下字符串则跳过,如下所示:
ad2a7ad8b45847602af1e32567af8ef0.png
相应的字符串为:ENCRYPTED、READ_THIS、.sys等
6.判断文件名后缀是否为如下后缀则跳过,如下所示:
c8b9797ee72f7438ce8827207635cd6b.png
相应的后缀列表:vhd、vhdx、vdi
7.然后遍历之前获取的目录列表:
C:\Users\用户名\Desktop
C:\Users\用户名\Downloads
C:\Users\用户名\Documents
如下所示:
f3d0ef32fdd5a93401bf0a425144b81f.png
8.如果遍历的磁盘目录为C盘,则跳过C盘下的特定目录,如下所示:
2d21657fab603b2297f69576b2a67b00.png
跳过以下目录,如下:
PerfLogs
Program Files
Program Files (x86)
ProgramData
Users
Windows
System Volume Information
$Recycle.Bin
. (当前目录)
.. (上一级目录)
bootmgr
BOOTNXT
Documents and Settings
hiberfil.sys
MSOCache
pagefile.sys
swapfile.sys
effdbbf8c600d5397cf99a4ba784746d.png
bd4f24b25b007880147e65bae4d4efe8.png

9.如果文件为以下后缀名,则加密文件,如下所示:
dcf815a8c81199887cb90a6b282043b8.png
会加密的文件的后缀名列表,如下:
txt、jpg、png、xml、doc、docx、xls、xlsx、ppt、pptx、gif、bmp、sql、php、html、cs、cpp、docm、docb、rar、zip、xlm、xml、py、rb、mp3、mp4、xlsb、xla、xlam、xll、xlw、pdf、pps、pot、accdb、accde、accdt、accdr、cert、swf、mdb、rtf、gzip、tar、
css
10.创建线程,加密文件,如下所示:
efea41b13b26edd8b0c9a7210b8dbebb.png
11.加密后的文件后缀名为ENCRYPTED,如下所示:
af7de986ddca4c660ace7c71d17d6d30.png
加密文件过程,如下所示:
cb6f447ec9d5282bac5d3670c16ff998.png
12.在内存中解密出相应的勒索信息,如下所示:
de88b0b6713092b89e07bf3386eebf82.png
生成相应的勒索超文本信息READ_THIS_TO_DECRYPT.html,如下所示:
638282d8ee15dfc72f77f31d339d2bdd.png
13.加密完成之后,弹出相应的勒索信息,如下所示:
b8710efeb7d18ec4ad91d8b64bba6708.png

病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

病毒防御
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室