多款勒索病毒携“永恒之蓝”卷土重来

防不住了吗,关注奇速盾

索病毒集中大爆发的感敏时期还未走远,近期,多种新型变种勒索病毒(利用永恒之蓝漏洞)又肆虐泛滥!威胁程度达到高危,影响范围广泛。变种后的勒索病毒对系统文件具有更强的破坏性和感染力,以下是新型变种病毒名称及危害简介:

Satan勒索变种

用户一旦遭受Satan勒索变种攻击,重要文档和数据库文件均可能被加密,并被勒索0.3个比特币。Satan勒索变种攻击过程如下:

其中:

1.st.exe是母体,执行后会下载ms.exe和Client.exe。

2.ms.exe是一个自解压文件,包含的blue.exe和star.exe执行永恒之蓝漏洞攻击。

3.一旦攻击成功后,star.exe加载payload(down64.dll),负责下载并运行st.exe。

4.Client.exe是Satan勒索病毒,执行文件加密操作,并弹出勒索信息。

5.每感染一台后,都会重复执行1、2、3、4步骤,在局域网进行扩散。

WannaMine挖矿变种:

WannaMine挖矿变种会造成用户服务器和PC异常卡顿,消耗主机大量CPU资源。其攻击过程如下:

1.srv是主服务,每次都会进行开机启动,启动后加载spoolsv。

2.spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。

3.svchost.exe执行永恒之蓝漏洞溢出攻击(目的IP由步骤2确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击。

5.每感染一台,都重复步骤1、2、3、4,在内网扩散。

PowershellMiner无文件挖矿变种

PowershellMiner挖矿变种没有本地恶意文件,用户难以发觉,往往能够消耗主机90.0%以上CPU资源,造成主机性能异常卡顿。其攻击顺序如下:

1.首先,挖矿模块启动,持续进行挖矿。

2.其次,Minikatz模块对目的主机进行SMB爆破,获取NTLMv2数据。

3.然后,WMIExec使用NTLMv2绕过哈希认证,进行远程执行操作,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来,流程结束。

4.最后,如果WMIExec攻击失败,则尝试使用MS17-010永恒之蓝漏洞攻击,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来。

5.每感染一台主机,都重复步骤1、2、3、4,在内网进行扩散。

WannaCry勒索2.0蓝屏变种

该勒索变种并不会勒索成功,但由于漏洞利用不当,常常导致主机蓝屏崩溃。在服务器场景下,对企业业务影响极大。

此变种是WannaCry的2.0版本,2018年仍然十分活跃。

之前的版本会释放勒索程序对主机进行勒索,但此变种的勒索程序在主流Windows平台下运行失败,无法进行勒索操作。

但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞攻击,该漏洞的利用使用堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在利用失败的情况下,会出现被攻击主机蓝屏的现象。

针对广大用户,超级科技网络安全研究员建议进行日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件;

2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;

3.对重要的数据文件定期进行非本地备份;

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

——超级科技

QSY

· 技术大牛都在这里 ·

Hi,我是奇速盾

从现在开始

我的每一句话都是认真的

如果,你被攻击了

别打110、119、120

来这里看着就行

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180418A0YA4N00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券