Megazord勒索病毒分析

原创
2023/11/02 16:35
阅读数 12


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-499

报告来源:360高级威胁研究分析中心

报告作者:360高级威胁研究分析中心

更新日期:2023-11-02


1
 简述



最近,360反病毒中心拦截到一种新型勒索软件,被命名为“Megazord” (Megazord勒索软件为Akira勒索软件全新的变种,Akira勒索软 件于2023年3月出现)。这款勒索病毒引人瞩目的特点是它采用了全新的加密技术和运行方式——采用目前流行的Rust语言编写,采用curve25519椭圆曲线非对称加密算法和sosemanuk对称加密算法的组合来进行加密,旨在方便跨平台攻击以及提高加密攻击效率。Megazord勒索软件采用多种方法进行攻击:包括鱼叉式网络钓鱼邮件、RDP,以及网络IP扫描工具、NETEXE (NET USE)、PSEXEC等,进行横向传播。它会给被加密的文件添加“.powerranges”后缀,并在每个文件夹中释放“powerranges.txt”文件,作为勒索信。

需要运行参数:--id aIuQQLxoAv

输入参数后才能正常加密:

使用命令获取虚拟机信息,并结束相关服务进程:

方便加密虚拟机、虚拟磁盘相关文件:

结束服务列表:

排除加密文件列表:

排除加密目录列表:

勒索加密:

使用curve25519椭圆曲线非对称算法加密sosemanuk流密钥:

使用sosemanuk算法加密文件:

遍历文件:

加密文件写入文件:

被勒索加密的文件添加”.powerranges"的后缀:

勒索信为:powerranges.txt

存放被勒索企业数据的黑客网站:该勒索软件组织还使用#jQuery Terminal架设了暗网网站,这是一个基于 Web 的 JavaScript 终端模 拟器:

这里还记录了哪些公司被攻击并被窃取数据的记录(新变种暂未发现有窃取数据功能):截止2023.11.02日共记录143条祥见附件文档:


2
 360查杀拦截情况:



360安全大脑,在9月28日捕获到该样本的国内传播情况

QVM、AVE、鲲鹏引擎无需升级即可拦截

360沙箱云检测:

EPP查杀:


3
 安全建议:



定期备份数据:定期备份重要数据,并将备份存储在与网络分离的地方。确保备份是可访问和可恢复的,以便在遭受攻击后可以迅速还原数据。

更新操作系统和软件:保持操作系统、防病毒软件和其他应用程序更新到最新版本,以修复已知漏洞。

网络安全:配置网络防火墙和入侵检测系统,以监视和封锁恶意活动。

培训员工:教育员工识别恶意电子邮件附件和链接,以及不打开或下载来自未知来源的文件。

使用强密码:确保使用复杂的、不容易猜测的RDP密码,定期更改密码,并启用多因素认证。

限制用户权限:将员工的访问权限限制在他们需要的最低权限级别,以减小受到攻击的风险。

邮件过滤:使用电子邮件过滤来检测和隔离恶意电子邮件,并及时清除垃圾邮件。

安全软件:使用可信赖的防病毒和反恶意软件工具来检测和防止恶意软件。

安全策略:制定和执行安全策略,包括数据访问控制、网络访问策略和紧急恢复计划。

报告攻击:如果受到勒索病毒攻击,请立即通知网络安全团队或执法机构,以便采取适当的行动。

防范社工攻击:谨慎对待社工攻击,即攻击者通过欺骗手段获取信息。不要泄露敏感信息或凭据。

不随意点击链接:避免点击不明链接,特别是来自未知发件人的链接。

网络分割:在网络中实施分割,以减少在遭受攻击时病毒的扩散范围。

定期演练:定期进行模拟演练,以确保员工了解如何应对勒索病毒攻击。


4
 IOC:



95477703e789e6182096a09bc98853e0a70b680a4f19fa2bf86cbb9280e8ec5a

勒索信:powerranges.txt

加密扩展名:.powerranges

加密算法:curve25519+sosemanuk


5
 时间线



2023年11月02日 360高级威胁研究分析中心发布通告


6
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部