证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

money message勒索病毒突现,天融信多款产品均可防御!-凯发k8国际首页登录

狙击在野勒索病毒!天融信下一代防火墙、edr、自适应、僵木蠕、病毒过滤网关均可精确检测并查杀money message勒索病毒,提供全面安全保护。
发布时间:2023-04-27
浏览次数:3141
分享:

安全动态

近日,天融信谛听实验室监测到在野的money message勒索病毒,该组织是一种勒索软件即服务(raas)模式犯罪团伙,攻击全球各行业知名企业,通过窃取并加密用户数据、索要巨额赎金获取巨大收益。

据该组织地下网络博客称,目前还有接近2百万条待公开的受害者记录,目前受害者包括美国最大的药房药物公司pharmerica、微星国际(msi)计算机硬件提供商、商业财产和意外伤害保险服务商golden bear等。

经验证,天融信下一代防火墙、edr、自适应安全防御系统、僵尸网络木马和蠕虫监测与处置系统、病毒过滤网关可精确检测并查杀该勒索病毒,提供全面的安全保护,有效阻止该事件蔓延。

病毒分析

money message勒索病毒使用c 语言编写,目前最早在野样本出现在3月19日。

money message勒索病毒的运行界面如下图所示。首先枚举并结束指定的进程与服务,并搜索受害主机上的本地磁盘类型。

调用系统程序ssadmin.exe 执行delete shadows /all /quiet命令删除卷影副本,防止加密文件后被本地服务数据恢复备份。

之后创建多个线程执行加密,占用cpu较高性能。由于采用的算法强度较高,加密文件的速度比较慢,如果在加密过程中发现并结束勒索可以挽回一定损失。

如下是勒索病毒运行过程中内存中会解密的配置文件,包含了加密过程的黑名单进程与服务名称,白名单文件目录,网络密钥等重要信息。

此外勒索病毒在软件中内嵌了加密的白名单文件列表,包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。

和常规勒索病毒不同的是,money message在加密文件后并不会更改文件后缀,这直接导致一些可执行文件在被加密后会出现格式报错,文本类文件可以直接打开但数据被加密出现乱码。

在c盘释放的money_message.log实则是勒索信,告知受害者缴纳赎金的谈判地址,并警告受害者如果在规定时间内拿不到赎金,将会公布受害者的私密数据。

money message勒索病毒采用ecdh和chacha20算法加密用户数据,该加密方式速度虽慢,但加密强度较高,目前还无法破解。

附录:

money message勒索加密配置文件:

https://github.com/stupidbird-code/malware_analysize-tools/blob/main/money_message_ransom_config.json

样本ioc列表:

防护建议

及时修复系统及应用漏洞,降低被money message勒索病毒通过漏洞入侵的风险。

加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面。

更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击。

定期进行数据备份,并将这些备份数据保存在离线环境或单独的网络中。

安装天融信安全产品加强防护,天融信下一代防火墙、edr、自适应、僵木蠕、病毒过滤网关,可有效防御该勒索病毒。

天融信产品防御配置

一、天融信下一代防火墙系统防御配置

1、通过访问控制策略加强禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;

2、开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;

3、升级到最新病毒特征库,配置病毒防护策略,可有效检测并阻断勒索病毒传播。

4、开启联动功能,获取天融信edr、天融信病毒过滤网关、天融信僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围;

5、开启资产防护功能,启用资产行为基线功能,通过检测资产异常行为,可及时发现隐藏攻击行为并启用策略进行阻断。

二、天融信edr系统防御配置

1、通过微隔离策略加强访问控制,降低横向感染风险;

2、开启文件实时监控功能,可有效预防和查杀该勒索病毒;

3、开启系统加固功能,可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。

三、天融信自适应安全防御系统防御配置

1、通过微隔离策略加强访问控制,降低横向感染风险;

2、通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露;

3、开启病毒实时监测功能,可有效预防和查杀该勒索病毒。

四、天融信僵尸网络木马和蠕虫监测与处置系统配置

1、升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中的勒索病毒;

2、开启威胁情报日志记录和报警功能;

3、可配置旁路阻断或者天融信防火墙联动,拦截勒索病毒网络传播。

五、天融信病毒过滤网关防御配置

1、升级到最新病毒特征库;

2、开启http、pop3、smtp、ftp、imap等协议的病毒扫描检测;

3、配置病毒检测处置策略;

4、开启日志记录和报警功能。

天融信产品获取方式

天融信下一代防火墙、过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品特征库下载地址: ftp://ftp.topsec.com.cn

天融信自适应安全防御系统、天融信edr企业版试用:可通过天融信各地分公司获取。查询网址:

http://www.topsec.com.cn/contact/

天融信edr单机版下载地址:http://edr.topsec.com.cn

关键词标签:
天融信 勒索病毒 查杀该勒索病毒 安全保护
在线咨询





在线留言





客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注
网站地图