病毒预警:KrakenCryptor勒索病毒最新变种来袭
安全预警
近日,亚信安全截获KrakenCryptor勒索病毒最新变种版本(2.0.7),该病毒利用“.net”框架编写,采用了RSA+AES加密算法,加密后缀随机生成。其主要通过垃圾邮件附件进行传播。亚信安全将其命名为Ransom_KRAKEN.THAOCAAH。
KrakenCryptor勒索病毒最早出现在8月份,在短短3个月时间内已经出现了多次变种,早期的KrakenCryptor勒索病毒通过垃圾邮件,P2P网络以及Fallout漏洞利用套件等进行传播。其勒索赎金从500-1500美元不等。其中Kraken2.0的付款方式最为特殊,其要求用户支付50美元的礼品卡来解密文件。
该病毒首先会解密出勒索软件相关信息,如:勒索软件家族、版本、加密秘钥、支持邮箱等。
【KrakenCryptor勒索病毒家族和版本信息】
【加密密钥及支持邮箱信息】
该勒索病毒检查系统中是否存在如下进程,如果存在如下进程,病毒将会结束这些进程:
agntsvcagntsvc
agntsvcencsvc
agntsvcisqlplussvc
dbeng50
dbsnmp
firefoxconfig
msftesql
mydesktopqos
mydesktopservice
mysqld
mysqld-nt
mysqld-opt
ocomm
ocssd
oracle
sqbcoreservice
sqlagent
sqlbrowser
sqlservr
sqlwriter
sqlwb
synctime
tbirdconfig
xfssvccon
该勒索病毒避免加密如下文件夹中的文件:
$recycle.bin
system volume information
$windows.~bt
boot
drivers
programdata
all users
windows
windows.old
appdata
programdata
sample videos
sample pictures
sample music
my videos
my pictures
my music
test folder
test
Tor Bundle
steam
Program Files
Program Files (x86)
Adobe
该勒索病毒避免加密文件名中带有如下字符串的文件:
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
thumbs.db
该勒索病毒支持加密423种扩展名的文件,下面是其加密的部分文件扩展名:
该勒索病毒通过如下URL获取受害者IP地址:
https://ipinfo.io/json
如果受害者IP位于如下国家,该勒索病毒不会加密其系统中的文件。
该勒索病毒会根据不同国家显示不同语言版本的勒索信息:
【中文显示勒索信息】
不要点击来源不明的邮件以及附件;
不要随意点击邮件中的链接;
尽量关闭不必要的文件共享权限和不必要的端口;
及时更新系统,更新应用程序,打全系统及应用程序补丁程序;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
亚信安全产品解决方案
亚信安全病毒码版本14.605.60、云病毒码版本14.605.71和全球病毒码版本14.605.00已经可以检测,请用户及时升级病毒码版本。
总结:在目前的网络威胁领域中,勒索软件仍然扮演着十分重要的角色。勒索病毒通过不断的变种试图避开杀毒软件检测。这就要求我们的产品不断更新,与勒索病毒持续抗衡。亚信安全防毒墙网络版(OfficeScan)开启针对勒索软件的行为阻止策略,可以有效拦截勒索病毒对系统中的文件进行加密。
来源:亚信安全