新闻动态 NEWS高标准的专业运维服务团队,实现IT外包服务。

当前位置: 首页 > 新闻动态 > 行业新闻

新型勒索病毒ANTEFRIGUS来袭

日期:2020-02-19 19:26:32 / 人气:

近日,亚信安全截获新型勒索病毒ANTEFRIGUS,该病毒遍历磁盘,对磁盘中的文件进行加密,并为加密后的文件名添加随机后缀。该病毒通过删除卷影副本,阻止可能的系统恢复。亚信安全将其命名为Ransom.Win32.ANTEFRIGUS.A。

 2-200219193200P1.png

攻击流程

 2-200219193222232.png

病毒详细分析

17.exe文件确切的说是一个dropper,其主要工作是释放并且运行勒索病毒本体,病毒路径为“C:\Users\Public\Documents\wonsys.exe”:

 2-20021919324E45.png

安全研究人员捕获到wonsys.exe文件并进行分析,发现此文件是经过UPX加壳:

2-200219193332b7.png

脱壳后继续分析,发现此病毒刚开始就调用taskkill结束大量进程,如下是进程列表:

 2-20021919341D13.png

2-2002191934533D.png

上图中最后一条命令“wmic.exe shadowcopy delete”,用于删除卷影副本,阻止可能的系统恢复。此病毒会将自身写入注册表,达到自启动目的:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceDefenIfWIn:C:\Users\Public\Documents\wonsys.exe

2-200219193523a8.png

病毒接下来进入磁盘遍历阶段,病毒作者将需要检索的盘符直接硬编码在代码中逐个进行遍历:

2-200219193601Y9.png

如遍历到确实存在的盘符,病毒会开启线程,将加密逻辑的函数作为线程启动参数,在线程中再进入对应逻辑:

2-200219193636328.png

在函数sub_40460B中,代码将白名单写入内存,白名单后缀:

2-200219193A3G9.png

2-200219193G4S7.png

白名单路径:

  C:/intel

  C:/nvidia

  C:/ProgramData

  C:/Program Files

  C:/Program Files (x86)

白名单字符串:

2-200219193I34X.png

在遍历系统中的文件时,病毒会将文件名与白名单一一比对,如果文件名存在于白名单,则会跳过,否则开始加密文件:

2-200219193K2234.png

待加密完成后,留下的勒索信息如下:

2-200219193Q1636.png

亚信安全教你如何防范

  不要点击来源不明的邮件以及附件;

  不要点击来源不明的邮件中包含的链接;

  采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  打开系统自动更新,并检测更新进行安装;

  尽量关闭不必要的文件共享;

  请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全产品解决方案

亚信安全病毒码版本15.687.60,云病毒码版本15.687.71,全球码版本15.687.00已经可以检测,请用户及时升级病毒码版本。

IOCSHA-1:d1b9eaede43c59959f31c433af11cdd5b8711bcade51da60173476454feec1eb71e6864778b7b319

中联信是一家亚信安全全系列产品金牌合作伙伴。亚信安全全系列产品企业渠道合作伙伴。亚信安全企业解决方案或作伙伴。