1. 威客安全首页
  2. 默认分类

新型masked勒索病毒袭击工控行业

点击蓝字关注我们

新型masked勒索病毒袭击工控行业


10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》,报告指出数据已成为网络犯罪分子的主机攻击目标,勒索软件仍是网络安全最大威胁,全球各界需要加强合作,联合打击网络犯罪


尽管全球勒索病毒的总量有所下降,但是有组织有目的针对企业的勒索病毒攻击确实越来越多,给全球造成了巨大的经济损失,勒索软件仍然是网络安全最大的威胁,成为作案范围最广、造成经济损失最严重的网络犯罪形式

 

朋友发来一个消息,问我中了哪个家族的勒索病毒,如下所示:

新型masked勒索病毒袭击工控行业

随后朋友发来了勒索的相关信息和病毒样本,此勒索病毒运行之后会修改桌面背景,如下所示:

新型masked勒索病毒袭击工控行业

在每个加密的文件目录下,会生成两个超文件HTML的勒索提示文件,如下所示:

新型masked勒索病毒袭击工控行业

超文本文件HTML的内容,如下所示:

新型masked勒索病毒袭击工控行业

使用TOR打开勒索病毒解密网站,如下所示:

新型masked勒索病毒袭击工控行业

上面显示了RUSH GANG 1.3,要解密文件,只能通过邮件联系黑客,黑客的邮件联系方式:

backupyourfiles@420blaze.it

该勒索病毒使用了反调试的方法,阻止安全分析人员对样本进行调试分析,如下所示:

新型masked勒索病毒袭击工控行业

设置自启动注册表项

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,如下所示:

新型masked勒索病毒袭击工控行业

遍历主机磁盘,如下所示:

新型masked勒索病毒袭击工控行业

生成勒索提示超文件HTML文件,如下所示:

新型masked勒索病毒袭击工控行业

将解密出来的勒索提示信息写入到HTML文件中,如下所示:

新型masked勒索病毒袭击工控行业

然后遍历磁盘文件进行加密,加密后的文件后缀为masked,如下所示:

新型masked勒索病毒袭击工控行业

此前已经有好几位工控安全的朋友前来咨询我,勒索病毒针对工控行业的攻击似乎也越来越多了,各位工控企业一定要做好勒索病毒的防范措施,以防被勒索病毒勒索加密,千万不能掉以轻心,黑客无时无刻不在寻找着新的攻击目标


知识星球天天威胁情报内容播放

Phobos勒索病毒、Ursnif(Gozi)银行木马

njRAT远控、PoshC2木马、MegaCart窃密木马

TrickBot银行木马、Revenge RAT远控木马

Lime-RAT远控木马、Scarab勒索病毒、Emotet银行木马


往期精彩回顾

受害者入侵黑客服务器,获取Muhstik解密密钥


最后欢迎大家关注此公众号,本微信公众号专注于各种恶意软件分析与研究、追踪剖析这些恶意软件背后的黑产作商业模式,这里不扯一些“假大空”的安全概念和框架,只有实实在在最基础的安全研究、最新的威胁情报、以及笔者的一些安全观点与看法


同时知识星球天天威胁情报每天都会提供全球最新的恶意样本信息,每天会分享各种安全技术文章,欢迎加入,跟我一起分析与研究真正的网络安全攻击行为全球黑产团队组织活动情报,加入星球的朋友还可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

新型masked勒索病毒袭击工控行业
新型masked勒索病毒袭击工控行业

安全的路很长,贵在坚持……



觉得内容还不错的话,给我点个“在看”呗

新型masked勒索病毒袭击工控行业
新型masked勒索病毒袭击工控行业

原文始发于微信公众号(安全分析与研究):新型masked勒索病毒袭击工控行业

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(1条)

  • 大佬
    大佬 2019年11月2日 上午11:11

    有解密工具吗

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X