Matrix勒索病毒PRCP變種侵入政企單位
近日,深信服安全團隊在國內跟蹤發現了一新型的病毒變種,確認為Matrix勒索病毒PRCP變種,目前已有政企單位感染案例,該勒索變種採用RSA+AES高強度加密演算法,將系統中的大部分文件檔案加密為PRCP字尾名的檔案,然後對使用者進行勒索。目前無法解密,提醒廣大使用者警惕,防止中招。
該勒索病毒變種主要通過RDP爆破進行傳播,會掃描區域網內主機,會加密區域網共享目錄資料夾下的檔案,並彈出勒索介面如下:
此次勒索事件,深信服安全專家捕獲到了完整病毒樣本,並制定了相應的防護措施。
樣本分析
Matrix勒索病毒PRCP變種整體比較複雜,樣本功能可以簡化如下:
該病毒變種使用Delphi語言進行編寫,相關資料加密會儲存到程式資源目錄中。為了保證執行唯一,病毒執行後,會先嚐試開啟互斥變數MutexPRCP,如果開啟失敗,則建立互斥變數。
獲取資訊,上傳C2伺服器
該病毒變種會獲取當前作業系統的語言版本、主機名和使用者名稱等資訊,在記憶體中拼接相應的字串:
在記憶體中解密出遠端伺服器地址,如下所示:
傳送相應的主機資訊,到遠端伺服器地址prcp.mygoodsday.org ,進行記錄,如下所示:
掃描磁碟資訊,並列印到輸出視窗,然後將磁碟資訊,再一次上傳到遠端伺服器。
生成key,刪除系統備份
Matrix勒索病毒PRCP變種會通過內建的RSA金鑰生成相應的key,如下所示:
接著,會生成BAT檔案,刪除磁碟卷影等操作,使使用者無法通過系統備份恢復資料,如下所示:
生成上面BAT指令碼呼叫的VBS指令碼,如下所示:
掃描探測內網,加密網路共享
為了對內網最大程度造成破壞,該變種會生成隨機命名的備份檔案,然後通過引數啟動,對內網進行探測,如下所示:
內網共享目錄檔案掃描過程,如下所示:
生成的隨機的BAT檔案,如下所示:
呼叫釋放的NTHandler程式,對當前主機進行掃描,如下所示:
加密本地檔案,生成勒索資訊
最後,該變種病毒會遍歷本地磁碟檔案,加密磁碟檔案,加密後的檔案字尾為.PRCP。
磁碟檔案加密完成後,會在本地生成相應的勒索資訊檔案#README_PRCP#.rtf,相應的內容如下所示:
解決方案
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。
深信服提醒廣大使用者儘快做好病毒檢測與防禦措施,防範此次勒索攻擊。
病毒檢測查殺
1、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、深信服EDR產品及防火牆等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測。
病毒防禦
1、及時給電腦打補丁,修復漏洞。
2、對重要的資料檔案定期進行非本地備份。
3、不要點選來源不明的郵件附件,不從不明網站下載軟體。
4、儘量關閉不必要的檔案共享許可權。
5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
6、如果業務上無需使用 RDP 的,建議關閉 RDP 。
最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM