警惕“黑心”勒索病毒再度来袭

  • 来源:深信服安全中心
  • 发布时间:2018-11-07
#

事件描述

一、样本简介

BlackHeart(黑心)勒索病毒家族是一款使用NET语言进行编写的勒索病毒,之前深信服EDR安全团队已经报道过它的变种家族样本捆绑知名的远程软件AnyDesk进行传播,此次深信服EDR安全团队发现的是它的一个家族的最新的变种,加密算法仍然使用AES+RSA,加密后的文件无法还原,加密后的文件后缀名为mariacbc。

BlackHeart(黑心)勒索病毒也是SF勒索病毒家族成员之一,SF家族的勒索病毒,一共有如下几类:

Spartacus(斯巴达克斯勒索病毒)

Satyr(萨克斯勒索病毒)

BlackRouter(BlackRouter勒索病毒)

BlackHeart(黑心勒索病毒)

它们都采用NET语言进行编写,并使用了相似的加密核心代码进行勒索加密,统称为SF勒索家族。

二、详细分析

1.样本仍然采用之前的B字图标,同时也是使用NET语言进行编写的,如下所示:

图片1.png 

2.程序的入口函数,如下所示:

图片2.png 3.生成唯一的AES的KEY,如下所示:

图片3.png 4.再利用RSA2048的公钥Key加密之后生成的AES的Key,然后再转化为BASE64编码,如下所示:

图片4.png 生成的加密的Key,如下所示:

"mox1nR9OkprIdiwITblhpiD0XclNiMcMMNaP18mqVN1bkmsALjPThj9ckRNKC1uriLkOzc9BqAsgdLcNpm

AJ/OPZDzKZhLsNv5GZAZotlMP/gZzXvNvXqzKIxTxBv5NLzawTeyQuOuZMeU6gc

uZdPThNItes0oFGsozx

zsZCWuJoQuoXlfVDHnJC8dNGJ1+/EswCIB9jl5Hov0j9BNnwqOaKaTDJWYqayvKY4dnt14moA2ZzODVar

ydgHOit7CcJLGjCEijXV4Shrz8LkiBfKcH+haDcNWtT4EXT+zGae4DiAUIrAm+FPwLOuodHdrJwflJgkfawn

XZA/6Emv/Vbw=="

5.遍历主机相关目录,进行加密操作,如下所示:

图片5.png 遍历的目录,如下所示:

图片6.png 相应的目录列表,如下所示:

解决方案

深信服EDR产品能有效检测及防御此类勒索病毒家族样本及其变种,如下所示:

图片17.png 深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能