资安趋势部落格
https://blog.trendmicro.com.tw/?p=58693
勒索病毒MongoLock变种不加密,直接删除档案,再格式化备份磁盘,台湾列为重大感染区
最近有两只令人瞩目的勒索病毒,继媒体报导专瞄准大企业,半年获利近400万美元的
Ryuk 勒索病毒后,新一波的勒索病毒MongoLock变种更狠, 会直接删除特定目录内的档案
, 中毒电脑在离线后仍会继续删除档案,让档案无法回复。甚至会格式化并格式化可用的
备份磁盘。
趋势科技一直在关注新一波的MongoLock勒索病毒攻击,这波攻击会在感染时删除档案而
非进行加密,并且会进一步扫瞄可用资料夹和磁盘来进行档案删除。此波勒索病毒从2018
年12月开始出现,会要求受害者在24小时内支付0.1比特币来取回据称保存在骇客服务器
内的档案。我们的监控资料侦测到200多个样本,台湾、香港、韩国、英国、美国、阿根
廷、加拿大和德国,是中毒数量最高的地区。趋势科技的机器学习(Machine learning,ML)
和行为侦测技术能够主动地封锁此勒索病毒。
与一般先加密的勒索病毒不同,直接删除重要资料,备份硬盘,再发勒赎通知
2018年9月的MongoLock攻击也是针对安全设定较弱的数据库。此外,我们发现这勒索病毒
被放在PythonAnywhere上,这是基于Python的线上整合开发环境(IDE)和网页托管服务
。连到hxxp://update.pythonanywhere.com/d会下载可执行档 (update.exe),同时连
到hxxp://update.pythonanywhere.com将使用者导到中文编写的游戏网站模拟页面(
PythonAnywhere已经了移除此网站)。骇客会经常地更改网站上的勒索病毒,使用
hxxp://{user-defined}.pythonanywhere.com的主机可能都容易被滥用。
与一般看到的勒索病毒加密行为不同,此变种会删除在磁盘A和D内找到的重要资料并将勒
赎通知加入数据库。
勒索病毒会扫瞄和移除“ 文件 ”、“ 桌面 ”、 “ 最近 ”、“ 我的最爱 ”、“
音乐 ”、“ 影片 ”和“ 资源回收筒 ”等特定资料夹内的档案,并格式化可用的备份
磁盘。根据勒赎通知,被删除档案的副本会用加密的HTTPS协定上传到一个网址,我们追
踪电子邮件找到托管在ToR网络内的命令与控制(C&C)服务器。中毒电脑在离线后仍会继
续删除档案,让档案无法回复。我们透过沙箱分析没有发现数据库扫瞄和搜寻的迹象,这
可能代表资料删除只针对特定目录内找到的实体档案。
勒索病毒持续觊觎能够获取最大利润的产业
在最近的Ryuk勒索病毒攻击据报让美国主要报纸印刷业务停摆之后,我们继续地关注并调
查此攻击活动。我们怀疑网络犯罪分子仍在研究能够获取最大利润的产业,建议企业该重
新审视并确保自己部署了该有的安全政策和软件。建议管理者检查线上数据库和服务器设
定以做好防护。为了抵御此威胁:
更新你的系统和软件来避免成为让网络犯罪分子可用的进入点或感染管道。
实作3-2-1 备份原则。
使用能够扫瞄和封锁恶意网址的多层次安全解决方案。
趋势科技解决方案
趋势科技的XGen安全防护为资料中心、云端环境、网络和端点,提供能够对抗各类威胁的
跨世代威胁防御技术。它融合了高保真机器学习(Machine learning,ML)与其他侦测技术
和全球威胁情报,能够全面性地抵御进阶恶意软件。精准、最佳化、环环相扣的XGen防护
技术驱动着趋势科技一系列的防护解决方案:Hybrid Cloud Security(混合式云端防护
),User Protection(使用者防护)和Network Defense(内网防护)。
入侵指标
SHA256 698be23b36765ac66f53c43c19ea84d9be0c3d7d81983726724df
6173236defa
侦测名称 RANSOM.WIN32.MONGOLOCK.THOAOBAI
恶意网域/网址:
Hxxp://update.pythonanywhere.com/d(病毒载体)
Hxxps://s.rapid7.xyz / 104.27.178.191(C&C)