新闻中心

0512-87776578

szsl@sl2500.com

【紧急预警】KrakenCryptor2.0.7勒索变种来袭!

时间:2019-10-05 00:00:00   作者:   来源:

 

1.jpg

 

 

 

近日,深信服安全团队在分析安全云脑全网威胁数据时,发现了国内出现一新勒索家族KrakenCryptor,版本号为KrakenCryptor2.0.7,为目前发现的最新版本。KrakenCryptor2.0.7使用RSA+AES加密算法,加密后缀也随机生成。

从10月22号以来,陆续有用户受该病毒感染,病毒处于活跃状态,未来很有可能呈现爆发趋势。深信服紧急预警,提醒广大用户做好防御措施,警惕KrakenCryptor勒索病毒。

病毒名称:KrakenCryptor2.0.7

病毒性质:勒索病毒

影响范围:从10月22号起发现国内陆续有用户受感染

危害等级:高危

传播方式:KrakenCryptor勒索家族主要通过垃圾邮件、远程爆破方式进行传播,KrakenCryptor2.0.7可利用fallout漏洞进行传播。

 

病毒分析

 

01

病毒描述

Kraken Cryptor家族是一个用.net框架编写的勒索软件,在国外较为流行。本次在国内首次出现的KrakenCryptor2.0.7, 采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。

KrakenCryptor2.0.7传播方式主要通过远程爆破、垃圾邮件、以及fallout漏洞进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击。

02

样本分析

1、样本是用.net框架编写的,并且经过混淆,如下图所示:

2.jpg

▲样本被混淆

2、跟一般勒索软件类似,该版本也会给受害者设定一个缴纳赎金的时限,超过一个周以后就会涨价。并且一周涨价算的是自然周,而不是根据受害者被加密时间开始算。

3.jpg

缴费(勒索)倒计时

3、KrakenCryptor2.0.7通过 RSA+AES进行加密,加密后缀也随机生成,其支持加密的文件后缀,一共有422种。

4.png

 支持加密的部分文件后缀

4、样本会通过https://ipinfo.io网站来确认受害者IP的位置。

5.jpg

收集受害者IP的物理位置

5、收集受害者系统版本、mac地址、本地磁盘信息,并生成RSA和AES密钥。

6.jpg

生成加密密钥

6、获取受害者的默认输入法,通过输入法语言对部分区域进行免疫(不加密),中国不在免疫区域内。

7、注册表项,新增一个WordLoad的键,用来作为加密记录。如果Wordload的值为1,就退出。

7.jpg

注册表项

8、如果不在免疫区域列表当中,就会进入加密流程。样本会向https://2no.co/2SVJa5这个URL发送自己的IP物理地址。由于这个URL是个短连接,还原以后是https://www.bleepingcomputer.com/,bleepingcomputer是一个提供安全技术和信息的网站。

8.jpg

访问bleepingcomputer

9、生成256位AES密钥,并使用CBC模式加密文件。加密后的文件会直接将原文件覆盖,然后再重命名。

9.jpg

重命名加密后的文件

10、加密完以后样本进行自删除,避免被安全人员分析。

10.jpg

样本自我删除

11、最后更换桌面背景给受害者进行勒索提示。

11.jpg

桌面提示

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

 http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

 

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

 

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、深信服下一代防火墙客户,建议升级到AF8.0.5版本,并开启智能安全检测引擎SAVE,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+下一代防火墙+EDR,对内网进行感知、查杀和防护。

申浪科技提醒用户做好安全防护

咨询热线4006776570