赤豹反病毒:江民AI引擎再立新功!发现并阻止ALPHV组织新型勒索病毒,确保用户核心资产安全
一 .
概述
ALPHV组织以其高度组织化的犯罪网络和精密的攻击策略,频繁制造了多起网络攻击事件,致使诸多企业和个人遭受了严重的损失。
不久前,ALPHV组织曝光了一款新型勒索病毒,这种勒索病毒传播速度极快,具有很强的隐蔽性,能够迅速感染受害者的计算机系统,从而窃取和破坏企业敏感信息。
二 .
江民AI引擎处理ALPHV组织新型勒索病毒案例
某科技公司专注于开发创新性的软件解决方案,是一家在行业领先的企业。然而,该公司不幸成为了ALPHV勒索组织的目标之一。江民AI引擎在ALPHV组织新型勒索病毒造成大规模破坏之前,再次展现了其卓越的能力:成功发现并阻止了ALPHV组织新型勒索病毒在其内网服务器上的执行,为用户的核心资产安全提供了坚实的保障。该企业信息化主管表示:江民AI引擎在发现新型未知病毒领域的能力“遥遥领先”,值得信赖。
三 .
ALPHV组织新型勒索病毒样本分析
ALPHV组织新型勒索病毒是一款高度定制化的恶意软件,它是第一个用Rust语言编写的勒索软件。在运行时,它要求使用一个由32字节值构成的访问令牌(access-token 参数),其他参数可以根据需求进行指定。该勒索病毒软件内部携带了一个加密的配置,其中包含了一个要停止的服务/进程列表,白名单目录/文件/文件扩展名列表,以及受害者环境中被盗凭证的列表。
为了最大程度地破坏目标系统, ALPHV组织新型勒索病毒会删除所有的卷影副本,这是一种系统备份和恢复的功能。此外,该软件还通过使用CMSTPLUA COM接口来执行特权升级,从而获取更高的系统权限。这种策略可能允许恶意软件更好地操控受感染系统。
在加密过程中, ALPHV组织新型勒索病毒使用AES算法对文件进行加密。AES密钥本身会使用配置中包含的RSA公钥进行加密,从而增强了加密过程的安全性。
该病毒软件使用CMSTPLUA接口{3E5FC7F9-9A51-4367-9063-A120244FBEC7}提升权限。
该病毒软件调用IISReset.ee停止IIS(互联网信息服务)。
该病毒软件调用Wmic删除所有卷影副本,不过由于构造的命令不完整,执行不成功。
该病毒软件尝试清除所有事件日志,还是由于构造命令不正确所以执行不成功。
加密模块分析如下:
1. 过滤文件后缀进行加密
nls、diagpkg、msi、lnk、exe、cab、scr、bat、key、ocx、diagcab、diagcfg、drv、rtp、msp、prf、msc、ico、pdb、wpx、hlp、icns、rom、dll、msstyles、mod、ps1、ics、hta、bin、cmd、ani、386、lock、cur、idx、sys、themepack、deskthemepack、shs、ldf、theme、mpa、nomedia、spl、cpl、adv、icl、msu、com.
2. 加密算法
采用非对称和对称相结合的加密方式,但其存在两种对称的加密方法AES和chacha20,使用RSA-2048来加密对称密钥。
样本内部存储了RSA的密钥:
3. 勒索信内容如下:
四 .
赤豹反病毒实验室给出的对抗防御措施
下面是我们给出的一些对抗防御措施:
1、安装江民反病毒产品并将病毒库升级为最新版本,并定期进行全盘扫描。
2、在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
3、不打开陌生电子邮件,防止鱼叉式钓鱼式攻击。
4、及时更新操作系统及应用软件补丁,防止漏洞利用攻击。
5、为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
6、不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
7、定期进行目标机器的异常检查,包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。
江民赤豹反病毒实验室专注反病毒技术研究,拥有自主研发的文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品,形成了全平台的恶意代码防御体系,并针对日新月异的网络安全环境,提供安全事件应急响应、恶意代码分析处置等多种全服务。江民赤豹反病毒实验室致力于提供全面、系统、一体化的网络安全防护,为客户提供强大的技术支撑。
往期推荐
关于江民
江民科技深耕安全30年,产品多次进入央采和政采目录,涵盖终端防护、移动安全、数据安全、云安全、安全服务等跨多个细分领域,可提供“端、管、云、边”信息安全整体解决方案。产品应用覆盖政府、军队军工、公检法、金融、医疗、能源、教育、制造等各行各业数千万终端,深受党政机关、企业及各行业用户信赖。
扫码关注更多精彩
你们点点“分享”,给我充点儿电吧~