三天内不给钱就泄密,Sekhmet勒索需谨慎!

发布者:深信服千里目
发布于:2020-08-26 14:40

背景概述

Sekhmet勒索病毒于今年三月份出现,已有一家跨境IT服务公司的数据被该勒索病毒团伙在博客上公布了近百G的数据。

攻击者采用先窃取再加密的方式实施勒索行为。该勒索病毒和“大名鼎鼎”的Sodinokibi勒索病毒一样使用了随机加密后缀。勒索提示文档告知受害者若三天内不缴纳赎金,攻击者将在其搭建的网站上公布受害者的机密信息。

Sekhmet勒索病毒暂无公开解密方式。

执行过程


样本分析

DllRegisterServer为勒索函数:


该样本使用了以下方法来阻碍分析:

1. 使用大量无效跳转;

2. 使用push address ,retn进行函数调用;

3. 手动平衡堆栈;


利用GetProcAddress载入加密、文件、线程等函数阻碍静态特征提取;


创建空间写入PE文件

创建线程一并跳转执行;


调用WMI;


选择卷影删除;


收集用户信息;


生成用户RSA公私钥对2048位,获取密钥容器CryptAcquireContextW;


生成密钥对CryptGenKey;



加密用户私钥CryptEncrypt。


创建线程二(0xACF500)

向攻击者服务器回传用户信息;

 

计算IP地址185.82.126.81;


连接至185.82.126.81:50端口; 

创建POST 185.82.126.81:50/update.php?id=7118;

发送信息;


密钥组成结构

使用了Chacha20算法加密,初始密钥矩阵如下:


 

使用EncryptBinaryToStringA转换,包含Chacha20密钥的随机值,行列置换后的密钥矩阵及密钥流,用户组信息。


创建线程三

对每个驱动盘进行加密,获取驱动信息;;


获取对每个驱动开启单独的加密线程;


每个文件目录下先创建RECOVER-FILE.txt;


写入内容;


遍历文件夹;


不加密部分文件如boot.ini、ntuser.dat等;


不加密文件后缀lnk、exe、sys、dll;


读取文件末尾0x10C字节数据;


获取用户公钥;


两次CryptGenRandom分别生成Chacha20密钥矩阵的Key和Nonce;


使用用户RSA公钥加密该密钥矩阵;


将RSA加密后的Chacha20密钥矩阵写入文件;


使用Chacha20加密文件写入文件;


生成随机后缀;


修改文件后缀,修改完清除内存中的chacha20初始密钥;


关闭句柄,退出线程。

深信服安全产品解决方案

深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:


1. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

3. 深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;

4. 深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

加固建议

1. 使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

2. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

3. 定期使用安全软件进行全盘扫描和处置,定期检测系统漏洞并且进行补丁修复。

咨询与服务

您可以通过以下方式联系我们,获取关于该勒索病毒的免费咨询及支持服务:

1、拨打电话400-630-6430转6号线(已开通勒索软件专线);

2、关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询;

3、PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询。


声明:该文观点仅代表作者本人,转载请注明来自看雪