欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

全新“撒旦”Satan勒索病毒来袭

来源:本站整理 作者:佚名 时间:2018-07-26 TAG: 我要投稿

近日,瑞星威胁情报平台发现多起国内用户感染“撒旦”Satan勒索病毒事件。据瑞星安全研究人员介绍,该病毒运行后会加密受害者计算机文件,加密完成后会用中英韩三国语言索取1个比特币作为赎金,并威胁三天内不支付将不予解密。与以往常见的勒索病毒不同,“撒旦”不仅会对感染病毒的电脑下手,同时病毒还会利用多个漏洞继续攻击其它电脑。

图:感染“撒旦”病毒后弹出的勒索窗口
瑞星安全研究人员对最新版本的“撒旦”Satan勒索病毒进行了分析,发现该病毒与以往勒索病毒有较大的不同,“撒旦”Satan勒索病毒不仅使用永恒之蓝漏洞攻击,还增加了其它的漏洞攻击。包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。
虽然永恒之蓝已经过去很久,但是国内很多用户出于各种原因依然没有打补丁,这导致很多企业存在极大的安全隐患。“撒旦”Satan勒索病毒可通过漏洞进行传播,所以不下载可疑程序并不能防止感染病毒,如果不打补丁,即使没有任何操作只要联网就有可能被攻击,因此及时更新补丁,排查web漏洞,提高服务器安全才能最大限度的防御此类病毒。
防范措施
Ø  更新永恒之蓝漏洞补丁。
Ø  及时更新web漏洞补丁,升级web组件。
Ø  开启防火墙关闭445端口。
Ø  安装杀毒软件保持监控开启。
Ø  安装瑞星之剑勒索防御软件。
由于“撒旦”Satan勒索病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。目前,瑞星已经开发出了解密工具,如果用户中了此病毒可下载此工具恢复被加密文件,下载地址:
http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。
解密工具使用方法
1、查看勒索信息是否和报告中的相同;
2、判断被加密文件名是否为[dbger@protonmail.com]+原始文件名+.dbger,或者[satan_pro@mail.ru]+原始文件名+.satan;
3、运行解密工具;
4、点击“文件”按钮选中要解密的文件夹;

5、点击“解密”后,被加密文件将会被解密;

可以看到同目录下生成了被解密的文件,但是加密的文件将会被保留,用户查看确定文件被完全解密后,可删除被加密文件。在不确定解密文件是否正确的情况下,不要轻易删除被加密文件,防止其它类型病毒变种加密的文件没有被解密。


6、目前最新版本可以解密,如遇到此病毒的其它变种无法解密,可联系瑞星公司。
病毒详细分析
病毒攻击流程如下:

图:病毒攻击流程
新版撒旦Satan勒索病毒运行后会创建一个互斥体“SATAN_SCAN_APP”,如果已经存在则退出。

图:创建互斥体
如果不存在则开始执行恶意功能,从资源中释放需要用到的恶意模块到C:\\Users\\All Users 目录下,包括永恒之蓝攻击工具、加密模块、密码抓取工具Mimikatz。
释放永恒之蓝攻击工具,其中blue.exe 是永恒之蓝漏洞攻击工具,star.exe是脉冲双星后门植入工具,down64.dll 是漏洞攻击成功后植入被攻击机器的后门,功能是下载勒索病毒母体,其它文件都是攻击工具需要用到的依赖库和配置文件。





[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载