圖片展示

騰訊安全檢測到新勒索病毒MAKOP通過郵件傳播

發表時間: 2020-02-21 00:00:00


一、概述

騰訊安全威脅情報中心檢測到新型勒索病毒makop在國內開始活躍,已有企業遭受到該病毒攻擊。makop勒索病毒出現于2020年1月下旬,這是一個新出現的勒索家族,該病毒加密文件完成后會添加.makop擴展后綴,目前已知主要通過惡意郵件渠道傳播。


makop病毒作者疑似俄語系國家,根據其在網絡公開的更新計劃,可知在近期時間內病毒更新頻繁,由于該病毒使用RSA+AES的方式加密文件,暫無有效的解密工具,因此,我們提醒各政企機構提高警惕,做好安全防范措施。


中招網民發布的求助信息

 

makop病毒作者發布的推廣信息

makop病毒作者發布在某俄語論壇(https://t.co/6HDvKX0OZI?amp=1)的更新信息


該勒索病毒同以往發現的俄語系勒索病毒有較多相似之處:

加密時會嘗試結束后臺應用的進程,以獨占文件完成加密;排除部分加密白名單文件不加密;病毒會嘗試加密有寫權限的網絡共享文件;加密結束后,會刪除系統卷影信息,以防止用戶通過文件恢復功能找回文件。

以下是該病毒的詳細分析:

二、分析

makop勒索病毒內部使用的所有字串,使用前均使用內部硬編碼KEY進行AES解密,其中包含了病毒使用的主RSA公鑰信息,部分動態調用的API信息,白名單信息,勒索擴展后綴,郵箱信息,勒索信內容等信息。


病毒使用RSA公鑰信息


加密文件前,首先會枚舉當前系統中被占用的文件句柄,隨后嘗試結束掉文件占用進程,以防止文件被占用導致文件加密失敗。


加密文件時,首先對每個文件生成AES-IV,然后導入全局生成的AES密鑰,最終使用AES算法完成對文件的加密



病毒加密文件時會過濾以下白名單文件
boot.ini、bootfont.bin、ntldr、ntdetect.com、io.sys、readme-warning.txt

該病毒同樣會加密局域網內的可寫共享資源


加密文件結束后,最終使用以下命令刪除系統卷影信息,防止通過文件恢復功能找回文件


文件被加密為原始文件名.[ID].[[email protected]].makop


留下名為readme-warning.txt的勒索說明文檔



三、安全建議

企業用戶:
1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。
2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理。
4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。
5、對重要文件和數據(數據庫等數據)進行定期非本地備份。
6、教育終端用戶謹慎下載陌生郵件附件,若非必要,應禁止啟用Office宏代碼。
7、在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊云等具備專業安全防護能力的云服務。


8、建議企業用戶全網安裝騰訊T-Sec終端安全管理系統防御病毒攻擊(https://s.tencent.com/product/yd/index.html)。騰訊安全T-Sec終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。


個人用戶:
1、切勿隨意打開陌生郵件附件,強烈建議關閉Office執行宏代碼;
2、啟用騰訊電腦管家的實時防護功能攔截病毒。


3、打開騰訊電腦管家的文檔守護者功能,利用磁盤冗余空間自動備份數據文檔,即使發生意外,數據也可有備無患。

IOCs

MD5:
2ef9ca2508d649500348c8712229e97b
f74616a400973b5d1a5d8c039817ff03
3fea7d7e5fd61292e882d78d9d3862e6



來源:騰訊御見威脅情報中心

聯系我們

您能給我們多少的信任,我們就能給您多大的驚喜!

張掖市時代網絡科技有限責任公司

公司地址:國家級張掖經濟技術開發區創業大廈6

公司電話:0936-5996002

公司網址:www.leuqqd.icu

電子郵箱:[email protected]

 

 

旗下微信端自媒體城市門戶平臺

我要為張掖

 

 

旗下直播端自媒體城市門戶平臺

金張掖河西同城直播

  

版權所有 © 張掖市時代網絡科技有限責任公司

ICP備案號: 隴ICP備14001555號-4

安徽快三开奖跨度查询 中国股票指数根据什么来涨跌的 秒速快三官网 够力排列5最新版 极速飞艇不连挂五码 广西快乐十分app 股票配资平台创牛配资 黑龙江体彩11选五预测 主流互联网理财平台 吉林快三什么时候开始 江苏7位数20016期开奖结果查询 2009上证指数 河北十一选五开奖时间表 北京pk10冷热号走势图 快乐扑克开奖查询 炒股交易平台 上海快三基本走势一定