新型勒索病毒Monster正在国内悄然传播!!!

逆向病毒分析 1年前 (2022) admin
690 0 0
 概        况 

近日,美创安全实验室根据勒索病毒威胁情报,观察到Monster勒索病毒的入侵版图不断扩张,在国内已有部分感染!

据悉,Monster 勒索软件于 2022 7 月初采用 Raas模式在俄罗斯黑客论坛 Ramp 发布。它是一个采用 Delphi 语言编写的跨平台勒索软件,攻击者采用可选命令行参数的方式执行勒索攻击,同时该勒索软件也将图形用户界面(GUI)作为可选的命令行参数(该组织被认为是第一个开发了勒索软件GUI 界面)。之前观测到的受害者分布在新加坡、印度尼西亚、玻利维亚等地区。

通过分析发现Monster病毒样本以可选参数的方式启动后便会执行加密勒索操作,并为加密后的文件默认添加后缀名“Deep in Web”,提示信息文件名为“WE CAN RECOVER YOUR DATA.txt”,内容如下图所示。受害者可以使用通过 Session 社交软件与攻击者唯一的 ID 取得联系,并且只支持 Bitcoin 支付,提示信息中并未提及赎金金额。

新型勒索病毒Monster正在国内悄然传播!!!

Monster病毒攻击流程如下:首先攻击者通过爆破有效账号获得主机权限,其次上传扫描工具对内网其他主机进行扫描,接着黑客获取一台主机密码之后,会在此基础上定制密码字典,通过生成的特定密码字典尝试爆破内网其他主机进行横向,然后删除定制的密码字典,最后上传勒索文件。

 防 护 建 议 

面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:

 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

 尽量关闭不必要的端口,如1394453389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。

 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

 尽量关闭不必要的文件共享。

 提高安全运维人员职业素养,定期进行木马病毒查杀。

 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。

 安装诺亚防勒索软件,防御未知勒索病毒。

美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。

新型勒索病毒Monster正在国内悄然传播!!!

新型勒索病毒Monster正在国内悄然传播!!!

新型勒索病毒Monster正在国内悄然传播!!!

原文始发于微信公众号(第59号):新型勒索病毒Monster正在国内悄然传播!!!

版权声明:admin 发表于 2022年11月4日 上午8:31。
转载请注明:新型勒索病毒Monster正在国内悄然传播!!! | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...