如何警惕x3m勒索病毒CryptON

今天就跟大家聊聊有關(guān)如何警惕x3m勒索病毒CryptON，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

一、樣本簡(jiǎn)介

CryptON勒索病毒最早出現(xiàn)在2017年2月份左右，曾有多家企業(yè)遭到攻擊，近日深信服安全服團(tuán)隊(duì)接收客戶(hù)反饋，主機(jī)被加密勒索，加密后綴為x3m，經(jīng)過(guò)跟蹤分析，拿到了相應(yīng)的樣本，確認(rèn)樣本為CryptON勒索病毒的變種版本，并對(duì)此勒索病毒樣本進(jìn)行深入的分析。

二、勒索特征

1.加密后的文件后綴為id-[數(shù)字]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m，如下所示：

2.勒索信息圖片信息CVZRPKPA59ZMCHK9B.bmp，如下所示：

3.勒索超文本文件信息###HOW TO DECRYPT FILES ###.html，如下所示：

三、詳細(xì)分析

1.通過(guò)解密函數(shù)，獲取部分函數(shù)地址，如下所示：

2.在內(nèi)存中解密出相應(yīng)的勒索信息相關(guān)數(shù)據(jù)，如下所示：

解密出來(lái)的數(shù)據(jù)，如下：

3.通過(guò)多個(gè)解密函數(shù)，獲取函數(shù)地址，如下所示：

4.獲取主機(jī)APPDATA、LOCALAPPDATA、USERNAME、USERPROFILE變量值，如下所示：

5.判斷進(jìn)程運(yùn)行權(quán)限是否為管理員權(quán)限，如下所示：

6.獲取主機(jī)區(qū)域信息，如下所示：

如果主機(jī)區(qū)域?yàn)?RU(俄羅斯聯(lián)邦)、KZ(哈薩克斯坦)、BY(白俄羅斯)、UA(烏克蘭)，則退出程序，如下所示：

7.設(shè)置自啟動(dòng)注冊(cè)表項(xiàng)，如下所示：

8.判斷主機(jī)是否聯(lián)網(wǎng)，如果不聯(lián)網(wǎng)，則退出程序，如下所示：

然后再生成一個(gè)[原文件]+[bat]的批處理文件，進(jìn)行自刪除操作，如下所示：

批處理內(nèi)容，如下所示：

9.創(chuàng)建互斥變量，防止程序多次運(yùn)行，如下所示：

10.創(chuàng)建線程，加密文件，如下所示：

11.創(chuàng)建線程，獲取主機(jī)相關(guān)信息，上傳到遠(yuǎn)程服務(wù)器，如下所示：

12.讀取資源文件ID號(hào)CVZRPKPA59ZMCHK9T的數(shù)據(jù)，如下所示：

解密出資源的數(shù)據(jù)，然后寫(xiě)入到生成的勒索信息超文件本件，如下所示：

13.遍歷磁盤(pán)目錄文件，如下所示：

枚舉共享目錄文件，如下所示：

14.加密文件，如下所示：

加密后的文件，后綴名為id-[數(shù)字]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m，如下所示：

15.將資源ID為CVZRPKPA59ZMCHK9T的數(shù)據(jù)解密出來(lái)，得到勒索信息，寫(xiě)入到文本文件CVZRPKPA59ZMCHK9T，如下所示：

16.將資源ID為CVZRPKPA59ZMCHK9B的數(shù)據(jù)解密出來(lái)，得到勒索信息，寫(xiě)入到圖片文件

CVZRPKPA59ZMCHK9B，如下所示：

17.采用POST的方式，上傳主機(jī)相關(guān)信息到遠(yuǎn)程服務(wù)器地址，服務(wù)器URL相關(guān)地址：http://paris-style.ru/forum/clientscript/ie7/graphic/qp50x.php，如下所示：

獲取到的數(shù)據(jù)包信息，如下所示：

四、解決方案

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶(hù)，由于暫時(shí)沒(méi)有解密工具，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。深信服提醒廣大用戶(hù)盡快做好病毒檢測(cè)與防御措施，防范該病毒家族的勒索攻擊。

病毒檢測(cè)查殺

1、深信服為廣大用戶(hù)免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺。

64位系統(tǒng)下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

深信服安全團(tuán)隊(duì)再次提醒廣大用戶(hù)，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密，注意日常防范措施：

1、及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來(lái)源不明的郵件附件，不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶(hù)密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃。

6、如果業(yè)務(wù)上無(wú)需使用RDP的，建議關(guān)閉RDP。

看完上述內(nèi)容，你們對(duì)如何警惕x3m勒索病毒CryptON有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。