勒索方式升级,谨防双重加密
2021-07-23 17:32:39 Author: www.secpulse.com(查看原文) 阅读量:76 收藏

近日,终端安全团队收到一起安全求助,用户反馈其主机文件被加密,加密后缀为”.perfection”。通过安全专家的深入分析,发现这次勒索事件比较特别,虽然只有一种文件加密后缀,然而事实上是中了两种不同的勒索病毒,分别为MedusaLocker和GlobeImposter。

如下为加密现场,可以看到同时有MedusaLocker和GlobeImposter这两种勒索家族的勒索信息,其中GlobeImposter的勒索信息文件已经被加密:

图片1.png

在中毒主机中发现了MedusaLocker和GlobeImposter的勒索病毒文件,分别命名为”perf1.exe”和”perf2.exe”,如下:

图片2.png

下图左侧为MedusaLocker,右侧为GlobeImposter的勒索信息,可以看到其联系邮箱相同:

图片3.png

我们知道,不同家族的勒索病毒由于其加密方式不同,所以解密方式也不相同,多次加密往往会对解密造成更大的困难以及不确定因素,因此会造成更大的危害。

MedusaLocker及GlobeImposter勒索病毒都不具备主动传播行为,通常通过钓鱼邮件、RDP暴破等方式进行传播。在攻击现场,通过排查日志可以看到攻击方式为RDP暴破,如下为登录成功记录:

图片4.png

同时在中毒主机上发现了多种黑客工具,主要用于内网扫描、窃取密码、关闭防火墙等:

图片5.png

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/163177.html


文章来源: https://www.secpulse.com/archives/163177.html
如有侵权请联系:admin#unsafe.sh