聊聊LaoXinWon携带两个勒索病样本，重

pantuomenn

一、概述 [url=http:///www.xiazaigou.com]软件库[/url]的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！[align=center]

                               
登录/注册后可看大图

[/align]


讯安全威胁情报中心检测到ID为LXW的勒索病攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病样本，一款为C#编写的勒索模块，加密添加扩展后缀。另一款为D编写的S勒索模块，加密添加扩展后缀。两款病均法解密，重复加密更是增加了解密难度。讯安全专家提醒企业注意防范，可查杀拦截此病。











攻击者同时携带了内共享资源探测工具和进程对抗工具，在加密完成之后，还会清空系统日志，以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱LXW@购买解密工具。







在勒索病攻击加密范围不断扩大，加密方式越发变态的勒索攻击现状下，攻击者携带两款勒索模块可避免单一病易被安全策略拦截的风险。同时，攻击者存在重复使用2款勒索病对受害者文件进行重复加密的情况，进一步增加了文件解密恢复的难度，受害用户即使支付赎金也可能难以挽回损失。




二、安全建议


企业用户：



1、尽量关闭不必要的端口，如：445、15，19等，对89，5900等端口可进行白单配置，只允许白单内的IP连接登陆。



2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿访问。



、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且规律密码，并且强制要求每个服务器使用不同密码管理。



4、对没有互联需求的服务器工作站内部访问设置相应控制，避免可连外服务器被攻击后作为跳板进一步攻击其他服务器。



5、对重要文件和数据（数据库等数据）进行定期非本地备份。



6、建议终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用O宏代码。







个人用户：



1、启用，勿随意打开陌生邮件，关闭O执行宏代码。



2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备患。












、样本分析


讯安全威胁情报中心对受害电脑进行溯源分析，发现攻击者主要携带了以下5个功能模块，其中包含了2个勒索加密病，分别由C#和D编写。1个日志清理工具，1个进程管理工具，1个局域探测工具。








其中L为勒索模块，该模块由C#编写，运行后会探测局域内其它共享资源路径，同时获取本地磁盘分区根路径，以便后续对这些位置的资源进行加密。












病加密前会排除一些非系统数据类型格式的文件类型，添加AES加密扩展后缀。对文件内容的加密过程使用AES算法，AES密钥使用强随机的方式生成。





















文件内容加密完成后，AES密钥信息则会使用硬编码的RSA 2048进一步进行加密，后存放于文件尾部，硬编码RSA公钥信息如下：





















文件加密完成后被添加扩展后缀，留下勒索信要求联系指定邮箱LXW@购买解密工具。












同样是一个由D编写的勒索加密模块，运行后首先从内存中解压出大量要使用的勒索关键明文字串（硬编码公钥，加密后缀，勒索信等）信息，经分析研判确认为S勒索家族系列。



今年5月份，讯安全威胁情报中心发现国内S勒索家族19变种活跃，该家族同样使用较复杂的RSA+AES的加密流程，细节流程如下，该家族同样法解密。



详细分析报告可