关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

lockbit勒索病毒通过RDP弱口令爆破攻击,已有企业用户中招

发布时间:2020-04-27 11:03:13

一、概述

腾讯安全威胁情报中心检测到国内有企业遭受lockbit勒索病毒攻击,被加密破坏的文件添加了.Lockbit后辍。该病毒出现于2019年末,传播方式主要利用RDP口令爆破。该病毒此前主要活跃在国外,观察当前病毒版本,其进程结束(防文件占用)列表内已出现国产安全软件,这也代表着该病毒团伙已将其狩猎范围拓展到了国内。
经分析,该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后无法恢复文件,所以我们提醒各政企机构提高警惕。

1

二、分析

为了提升病毒读写文件效率,病毒通过采取IOCP完成端口模型,后续在工作者线程内读取完成消息队列,使用异步读写文件的方式实现病毒加密文件过程的高性能化。

2

在工作者线程内处理完成队列消息,根据IOCP_QUEUE_COMPLETECODE对文件数据进行加密,读写消息再投递。

3

4

同时为了进一步提升病毒加密过程效率,病毒运行后会检查CPU判断是否支持AES-NI指令集,加密时若支持相关指令则使用 aeskeygenassist,aesenc等加解密专用指令完成AES加密流程,否则使用其它常用计算指令完成加密流程。

5

6

加密文件前病毒会首先本地生成RSA密钥对信息,使用硬编码的RSA(N,E)对其进行加密,加密后的信息作为用户ID信息保存在相关注册表LockBit位置full键值内,同时将本地生成RSA密钥对中的RSA公钥(N,E)信息明文方式保存到注册表相关Pulbic位置内。被加密文件将添加0x610字节附加数据,分别为0x100字节的被加密AES密钥信息,0x500字节被加密用户RSA密钥信息,0x10固定串信息。

7

8

硬编码的RSA(N,E)信息,无私钥情况无法解密full内容,也无法解密文件

9

病毒会对每个文件使用BCryptGenRandom或CryptGenRandom方式生成0x16字节的AES密钥,随后开始尝试对文件进行加密。

10

当无法访问文件时,病毒会尝试更改文件所有者为自身进程,再次尝试访问文件。同时会尝试结束大量数据占用进程和服务(其内包括了国产安全软件相关进程,文档保护相关进程),加密时会避开大量系统关键目录,大量非数据类型后缀的文件。

11

12

病毒不加密以下白名单相关的文件和文件夹:

13

该病毒还会嗅探局域网内主机135,445端口是否开放,如果开放则尝试遍历其主机内的共享资源进行加密

14

加密文件结束后,文件均被添加.lockbit扩展后缀。由于病毒同时会删除系统卷影备份信息,被加密后无法通过磁盘恢复等方式找回文件。同时该病毒还会修改桌面壁纸显示勒索信息,留下名为Restore-My-Files.txt的勒索信,要求用户登录暗网缴纳赎金,之后获取解密工具,对应暗网地址则提供了文件试用解密功能,聊天购买解密工具议价等服务。

15

16

17

三、安全建议

企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

18



文章出处:https://mp.weixin.qq.com/s/4j0dps2b-y4HIudZ1tNJRg


/template/Home/Zkeys/PC/Static