2020年2月,国内多家医疗机构感染makop勒索病毒,遭受服务器加密,造成业务瘫痪,影响巨大。
黑客倾向于医疗行业最主要的原因是,医疗卫生行业具有很大的业务紧迫性,尤其在当下防治新冠病毒的紧要关头。医疗机构一旦受到勒索,将发生业务中断的情况,造成的损失不可估量。这个行业的受害者为了快速恢复业务,很大可能性会选择给黑客支付赎金的方式。此外,境外黑客势力并不会顾及行业的特殊性和公益性,较之以往更加变本加厉,给医疗卫生行业带来了巨大的挑战。
makop病毒加密的方式,是通过本地生成一个随机的aes blob,使用rsa公钥对其进行加密后放到被加密文件尾部,同时用上述随机aes密码对文件内容进行加密,全盘加密完成后对内存中使用到的随机aes blob进行了清理。因此不存在解密方法,无法解密。
勒索信:
pdf加密:
chm加密:
pyd,dll文件加密:
一 病毒样本分析
样本文件hash值:
122d3e1b78adb563b0df505559a99d2ff89b705759d4f954574b5246d84c165a
勒索龙8下载的联系方式:buydecryptor@cock.li
二进制分析
该系列样本内置一个aes256 blob,此密码用来解密敏感资源:
使用上述硬编码aes解密白名单文件:
使用上述硬编码aes密码解密rsa公钥:
随机生成aes blob,为文件内容加密使用:
对上面的随机aes密钥使用rsa公钥加密,此加密后的数据块被追加在文件末尾:
加密完成后对扫描内存中的blob,发现使用该blob无法进行解密:
该程序每30s自动扫描一次未加密文件,每次扫描都会生成新的aes密钥,此操作会清理内存中的旧随机aes密钥:
被加密后文件特征
1.填零16字节对齐后被aes加密的文件内容
2.不定长度的文件元数据信息(文件名,文件大小,文件属性等信息)
3.元数据信息的长度(通常为0x30),及2的长度
4.16字节的aes加密用随机iv(每个文件都不一样)
5.0x80长度被rsa1公钥加密后的本地生成的随机aes密码
二 病毒处置建议
1)该勒索病毒主要传播途径为钓鱼邮件,建议不要轻易点击不明邮件的可疑链接和可执行附件。
2)建议安装终端防护软件,以阻挡勒索病毒的执行,避免数据遭受加密和损失。
3)建议使用流量侧恶意文件识别探针,发现恶意电子邮件、勒索病毒通过网络传播的痕迹。
4)及时备份重要文件,或完善文件备份机制,且备份服务器与业务服务器隔离。
5)及时安装操作系统补丁、更新应用版本号,减少漏洞攻击面。
6)避免使用弱口令账户,降低系统和应用遭到暴力破解成功的可能性。
7)关闭服务器上无用的调试服务、端口,严格使用防火墙控制网络访问权限。
8)若遇到勒索病毒攻击,建议不要断电,马上断网,并保留现场等待安全专家对服务器进行排查,可借助数据恢复工具尝试恢复已被删除软件(重启后无效)。
安恒主机卫士edr勒索病毒防护整体龙8app登录的解决方案
安恒主机卫士edr勒索病毒防护整体龙8app登录的解决方案集合pc及服务器安全加固、专利级勒索病毒防护和补丁管理等功能而形成组合方案,并且可以提供勒索保险赔付。有效提高业务系统对抗勒索病毒的能力,检测及拦截已知和未知安全威胁,全方位保障数据和系统的安全。
安恒edr是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。安恒edr通过自主研发的文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。
作为一款主机安全产品,对多种网络安全防护能力进行了集成,拥有极强的兼容性,并能够和多款产品形成联动,满足多场景下应用以及不同用户的安全需求。目前,安恒edr已全面应用于政府、公安、医疗等行业,对数据进行了全方位的防护,满足了客户对于终端管控的需求,很好地解决了数据外泄和风险入侵等问题。
