1.背景
本次入口点机器遭受了两个组织的双重加密攻击,一个为Fx9家族,另一个为TellYouThePass家族(关于该家族的介绍,详看此篇)。
从Fx9的发言中可以看出,他们提到“.locked”后缀通常交易价格为 0.019 BTC,这表明该组织非常关注勒索市场的价格动态,并以此作为谈判参考。
此外,Fx9还强调,如果不是他们前期关闭了主机防护功能,TellYouThePass家族不可能成功入侵并完成加密。在随后的描述中,Fx9提到TellYouThePass家族是一个具有高度自动化倾向的组织,他们通过利用特定漏洞对大量互联网目标发起自动化攻击,以数量优势获利,因此勒索价格普遍较低。Fx9还表示,本次“双重加密”的情况是因为他们在窃取数据过程中耗时较长,恰好被TellYouThePass家族的扫描工具发现并抢先利用了同一个入口点。
| 特征 | 详细描述 |
|---|---|
| 语言策略 | 勒索信本地化,但谈判中要求使用母语,排除非母语带来的沟通障碍。 |
| 增值服务 | 承诺解密、数据删除、修复建议等附加服务,提升受害者信任度。 |
| 市场敏感性 | 密切关注勒索市场动态,以市场价作为谈判基础,提高谈判筹码。 |
| 竞争应对 | 了解其他家族的特点和不足,强调自身技术优势,维护“品牌形象”。 |
| 信息精准性 | 对目标的规模、财务、备份等信息了解透彻,优化谈判策略。 |
2.恶意文件基础信息
2.1 加密器基本信息
| 文件名: | lolk.exe |
|---|---|
| 编译器: | MSVC |
| 大小: | 230400 bytes |
| 操作系统: | windows |
| 架构: | x64 |
| 类型: | exe |
| 字节序: | 小端序 |
| MD5: | 0f265bf8071cb7ce1604b736914b8e44 |
| SHA1: | cac2296ca1234eda9e6f01a34bce5b72231ae124 |
| SHA256: | c20ea6c5070aedf2af1a30a84357588b80811d01f5d4d63cecdc2a1b47a20e04 |
2.2 勒索信
说明:
您的所有文件已经全部被加密.备份已经被删除
不用担心,文件可以被找回。
除了我们团队外,任何人都无法解密文件,不要相信那些其他解密的人,他们只是作为中间人进行支付赎金。
如何:
我们诚信,在收到赎金后会发送解密程序,并且只想要钱,没有任何其他目的。尽快联系是对您和我们都好的方式。
通过加密货币支付赎金,如果您不了解,可以使用"bing","Google"进行检索。
我们必须通知您们 如果想要达成合作最好和我们团队直接联系 你们找到的那些代理商 有一些让人讨厌的家伙 他们中有人不断地言语激怒我们 他们赚取中间差价
那好吧 我们会尝试进行摧毁数据和网络
我想有些家伙会对您们的数据和网络感兴趣
1. 我们诚信 收到赎金后 解密100%
2. 我们不会像新闻中说的那样 在收到足额赎金后 利用数据或者二次攻击
3. 我们可以提供攻击路径和防护建议
4.直接通过TOX.chat 与我们联系
5.如果你们不介意的话 我们会把这些当作只有精神激励 没有物质激励的游戏
联系方式 TOX.ID :"XXXXX7266A1730889345AC9424631AB996866D1AF22150E1E21BD06222BCA4962E329DDEBC8"
1.下载安装tox.chat",https://tox.chat/"
2.添加TOX.ID联系人
3.将"readme.txt"作为发送,获取收款地址.
4.将支付结果发送.
5.将会收到解密程序.
如果您无视该警告,我们将会把数据公开,并发送消息给您的合伙人以及新闻媒体!
---BEGIN ID---
XXXXXstwEuTSx6etcRpc1I6Ci9SMn8ohA2ALy0Jc0dPtQjQn9iqLRrmP2DNXXXXX---END ID---3.加密后文件分析
3.1威胁分析
| 病毒家族 | 未知(疑似国内) |
|---|---|
| 首次出现时间/捕获分析时间 | 2024.11.18 || 2024.11.23 |
| 威胁类型 | 勒索软件,加密病毒 |
| 加密文件扩展名 | .OBREQ |
| 勒索信文件名 | readme.txt |
| 有无免费解密器? | 无 |
| 联系方式 | TOX.ID:XXXXX7266A1730889345AC9424631AB996866D1AF22150E1E21BD06222BCA4962E329XXXXX |
| 感染症状 | 无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名(例如,solar.docx.OBREQ)。桌面上会显示一条勒索要求消息。网络犯罪分子要求支付赎金来解锁您的文件。 |
| 感染方式 | 未知 |
| 受灾影响 | 所有文件都经过加密,如果不支付赎金就无法打开。其他密码窃取木马和恶意软件感染可以与勒索软件感染一起安装。 |
3.2 加密的测试文件
文件名:
具体内容:
加密后:
3.3 加密文件名特征
3.4 加密文件数据特征
['$Recycle.Bin', '$RECYCLE.BIN', 'System Volume Information', 'Boot', 'Windows', 'Trend Micro', 'perflogs']
['.dll', '.lnk', '.sys', '.msi', 'readme.txt', 'CONTI_LOG.txt', '.bat']
['.4dd', '.4dl', '.accdb', '.accdc', '.accde', '.accdr', '.accdt', '.accft', '.adb', '.ade', '.adf', '.adp', '.arc', '.ora', '.alf', '.ask', '.btr', '.bdf', '.cat', '.cdb', '.ckp', '.cma', '.cpd', '.dacpac', '.dad', '.dadiagrams', '.daschema', '.db', '.db-shm', '.db-wal', '.db3', '.dbc', '.dbf', '.dbs', '.dbt', '.dbv', '.dbx', '.dcb', '.dct', '.dcx', '.ddl', '.dlis', '.dp1', '.dqy', '.dsk', '.dsn', '.dtsx', '.dxl', '.eco', '.ecx', '.edb', '.epim', '.exb', '.fcd', '.fdb', '.fic', '.fmp', '.fmp12', '.fmpsl', '.fol', '.fp3', '.fp4', '.fp5', '.fp7', '.fpt', '.frm', '.gdb', '.grdb', '.gwi', '.hdb', '.his', '.ib', '.idb', '.ihx', '.itdb', '.itw', '.jet', '.jtx', '.kdb', '.kexi', '.kexic', '.kexis', '.lgc', '.lwx', '.maf', '.maq', '.mar', '.mas', '.mav', '.mdb', '.mdf', '.mpd', '.mrg', '.mud', '.mwb', '.myd', '.ndf', '.nnt', '.nrmlib', '.ns2', '.ns3', '.ns4', '.nsf', '.nv', '.nv2', '.nwdb', '.nyf', '.odb', '.oqy', '.orx', '.owc', '.p96', '.p97', '.pan', '.pdb', '.pdm', '.pnz', '.qry', '.qvd', '.rbf', '.rctd', '.rod', '.rodx', '.rpd', '.rsd', '.sas7bdat', '.sbf', '.scx', '.sdb', '.sdc', '.sdf', '.sis', '.spq', '.sql', '.sqlite', '.sqlite3', '.sqlitedb', '.te', '.temx', '.tmd', '.tps', '.trc', '.trm', '.udb', '.udl', '.usr', '.v12', '.vis', '.vpd', '.vvv', '.wdb', '.wmdb', '.wrk', '.xdb', '.xld', '.xmlff', '.abcddb', '.abs', '.abx', '.accdw', '.adn', '.db2', '.fm5', '.hjt', '.icg', '.icr', '.kdb', '.lut', '.maw', '.mdn', '.mdt']
['.vmdk', '.pvm', '.vmem', '.vmsn', '.vmsd', '.nvram', '.vmx', '.raw', '.qcow2', '.subvol', '.bin', '.vsv', '.avhd', '.vmrs', '.vhdx', '.avdx', '.vmcx', '.iso']
3.4.1 加密百分比补充说明
3.4.2 加密文件格式
3.5 加密算法
3.5.1 Chacha20密钥和nonce生成
(python) b"expand 32-byte kx98x95xf6h'xc5xf9VLk/O xd7?1x95MRx93Ox9b'xb5|MJ\xb6xf4xb49"3.5.2 RSA公钥
b'x06x02x00x00x00xa4x00x00RSA1x00x10x00x00x01x00x01x00xd1^xf8x8d2xbaxcexac)xffux02xaaxc4xa5x101xa0xdbxebxd6x9dzHrDxd3xd4x00xa7x86xb5Ixa3dx04Bxd9_>xa1xcax0eoxf13xb6xa2x85ux07xdcxe8x1exa1x00xa0kxc5x1exd6xc03x0cxe2o;xdd=xb1rxb1xc3x12~xc1xd7px06xffxd3rx85xe4x81xdfqxd1x85xf0<xe8xc5xb9xcaxac,xc7Eexb2Exc3xc8yxa4&t(x95x1a8nx17Ktxa8Uxf6x89xf1x9bxc1x8bxd1"x95}x7fxd3x96a"xadxfexa1xaex9eQ`x999xedLTxfc)Vx10:xd8-:x98x11DQta,xf1CxfcYxd0q2x8b!x99x07x8fx19^xbcxe7xbcxa4xcex9excdxf5xec$xe1x1bx1dxb176&x8bzx16{xbcxa3x066x96xf8x81x92[rx8exf9O'xaf,x15xefx1bxdeWx80(x8bnLM~xb9x1cx02xfeAx14^x889xac]tx0f~xc71x19fxd6,xfaxc8iMxc4xf9xe9q7TxdcZxa3xb9Hx90xcex96xcex97xafxaex05sx91x04xa1xd7xfdxdcxccn x0ex0cpxfdx89x8dx88xfd@x817x7fxd0x8b#x8axedxe9;xae/xd5`x1bxedxdcxd0x86xf0x86x92"xa4xf3x8cxcfyix0f(xf0xfdxb5xc5Ixdanx05&x12xe3xb7xc6(x86xd7 hxecx12x81hx03xe5xa7vxcfxd22x96xdbx86nxd4xe8 Dkk_xb0G}xf7x16x81xf8=wxf3mxc3x05rr-xc4xf9%x81&!x03xa1xbfxa4xa4xb4x88xd7]xe8]x1e/xxc5Txa9xbd/x00x87xd4~y~x16x0fx1b3[x08|x12xea\xc8xd35unxb1x9fnxdax18wxc0x99 x05Uxa6x94x01xdaxfbxd0x7fx9bxd5Fxa7{Xx19xc1xf5xc3Rxe3xdax0cxe4xd4%xa3cgxb2xf4xx86kxe6xbcx02xfcxxeex07xa61x86|xa9[Wx99>x93xfcxe3x82Mxd0exdbxdbxa7kx1axe7%xeaxefPqx8bxc6mx84x0btKxb7xd6xc9x1fx93xbfxcbYxc8x00x00x00x00x00x00x00x00x00x00x00x00'
3.6 释放文件
3.6.1 勒索信(readme.txt)
文件内容
说明:
您的所有文件已经全部被加密.备份已经被删除
不用担心,文件可以被找回。
除了我们团队外,任何人都无法解密文件,不要相信那些其他解密的人,他们只是作为中间人进行支付赎金。
如何:
我们诚信,在收到赎金后会发送解密程序,并且只想要钱,没有任何其他目的。尽快联系是对您和我们都好的方式。
通过加密货币支付赎金,如果您不了解,可以使用"bing","Google"进行检索。
我们必须通知您们 如果想要达成合作最好和我们团队直接联系 你们找到的那些代理商 有一些让人讨厌的家伙 他们中有人不断地言语激怒我们 他们赚取中间差价
那好吧 我们会尝试进行摧毁数据和网络
我想有些家伙会对您们的数据和网络感兴趣
1. 我们诚信 收到赎金后 解密100%
2. 我们不会像新闻中说的那样 在收到足额赎金后 利用数据或者二次攻击
3. 我们可以提供攻击路径和防护建议
4.直接通过TOX.chat 与我们联系
5.如果你们不介意的话 我们会把这些当作只有精神激励 没有物质激励的游戏
联系方式 TOX.ID :"45ED5E7266A1730889345AC9424631AB996866D1AF22150E1E21BD06222BCA4962E329DDEBC8"
1.下载安装tox.chat",https://tox.chat/"
2.添加TOX.ID联系人
3.将"readme.txt"作为发送,获取收款地址.
4.将支付结果发送.
5.将会收到解密程序.
如果您无视该警告,我们将会把数据公开,并发送消息给您的合伙人以及新闻媒体!
---BEGIN ID---
KnhIYstwEuTSx6etcRpc1I6Ci9SMn8ohA2ALy0Jc0dPtQjQn9iqLRrmP2DNhX6Dh
---END ID---
3.7 程序执行流程:
3.8 加密器命令行主要参数解析:
4.逆向分析
4.1 运行前
4.2 解析命令行
4.3 准备加密文件
4.4 加密工作线程
4.5 创建加密线程以后
5.病毒分析概览
.OBREQ,加密器文件名为lolk.exe,其由MSVC编译,大小230400字节,运行于Windows x64架构系统。病毒利用RSA与ChaCha20算法对目标文件进行加密,并通过TOX ID提供勒索信和联系方式,同时具备删除卷影备份、传播至局域网的能力。分析显示其通过命令行参数控制加密范围、线程数等,文件加密方式根据大小和类型灵活调整,无已知解密工具可用。以下是solar安全团队近期处理过的常见勒索病毒后缀:
| 出现时间 | 病毒名称 | 相关文章 |
|---|---|---|
| 2024/05 | .moneyistime | |
| 2024/09/29 | .lol | |
| 2024/06/21 | .MBRlock | |
| 2024/06/01 | .steloj | |
| 2024/05/27 | .TargetOwner | |
| 2024/05/17 | .Lockbit 3.0 | |
| 2024/05/13 | .wormhole | |
| 2024/04/09 | .bianlian | |
| 2024/03/20 | .locked | |
| 2024/03/11 | .Live1.5 | |
| 2024/03/08 | .Live2.0 | |
| 2024/03/06 | .Elbie | |
| 2024/03/01 | .lvt | |
| 2024/02/26 | .2700 | |
| 2024/01/18 | ._locked | |
| 2024/01/15 | .faust | |
| 2024/01/15 | .DevicData | |
| 2024/01/02 | .jopanaxye | |
| 2023/12/01 | .live1.0 | |
| 2023/09/05 | .CryptoBytes | |
| 2023/08/28 | .mallox | |
| 2023/08/02 | .rmallox | |
| 2023/01/10 | .DevicData-Pa2a9e9c | |
| 2023年初 | .halo | |
| 2021/05/01 | .mallox | |
| 2021年1月初 | .babyk | |
| 2020/05/18 | .consultraskey-F-XXXX | |
| 2019/05/01 | .src |
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
6.安全建议
6.1 风险消减措施
前期处理方法(企业内部):
1.尽快断开被感染设备的网络连接,以防止病毒进一步扩散!
2.请勿中途强制关机,该行为会造成不可逆后果
3.不要尝试自行解密或支付赎金,以免造成更大损失!以下为详细的消减措施:
1. 数据备份策略
定期进行数据备份,并确保备份数据存储在物理隔离的设备或云环境中,避免备份被勒索病毒感染。
实施多重备份策略,如每日、每周、每月备份,以确保在灾难恢复时有多种数据版本可供选择。
2. 系统和应用更新
定期更新操作系统和应用软件,及时打补丁,修复已知的漏洞。
开启自动更新功能,确保始终拥有最新的安全补丁。
3. 邮件和浏览器安全
部署电子邮件安全网关,过滤恶意附件和链接。
培训员工识别钓鱼邮件和恶意链接,提高对社会工程攻击的防范意识。
限制员工对高风险网站(如未经过筛选的下载网站)的访问,减少通过恶意广告和下载感染的风险。
4. 用户权限管理
最小权限原则(Principle of Least Privilege):根据岗位需求分配权限,避免不必要的管理员权限。
禁止员工使用公共账户和共享账号,所有用户需拥有独立的登录凭证。
5. 启用多因素认证(MFA)
为关键系统和远程访问启用MFA,防止账号被未经授权访问。
除了密码之外,添加短信验证、动态令牌等额外的安全层。
6. 网络分段与隔离
实施网络分段,将关键系统与普通网络隔离开,防止勒索病毒在局域网内扩散。
对于重要的业务系统,采用单独的VLAN和防火墙策略进行防护。
7. 部署防勒索软件和端点检测响应(EDR)
使用防病毒软件和防勒索软件,及时识别和阻止潜在的勒索病毒攻击。
部署EDR解决方案,以监测和响应异常活动,迅速隔离感染设备,防止病毒扩散。
8. 建立并测试应急响应计划
制定详细的应急响应计划,明确在勒索攻击发生时的应对步骤。
定期演练,测试该计划的可操作性,并进行改进。
9. 入侵检测与流量监控
使用入侵检测系统(IDS)和入侵防御系统(IPS),识别和阻断异常流量。
监控网络流量日志,以便在勒索病毒传播的早期阶段及时发现异常。
6.2 安全设备调优
目标
主要目标设备
6.3 全员安全意识增强调优
目标:
形式:
线下培训与宣贯:采用面授形式,通过系统化的课程安排,确保全员深入理解网络安全的核心概念和防护措施。
线上替代方案
我司自主研发的知行网络安全教育平台结合多种培训方式的组合,灵活应对不同场景,确保每位员工具备扎实的网络安全意识与技能。
知行网络安全教育平台
视频学习功能
AI助教功能
题目练习功能
自主练习功能
7.团队介绍
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。
同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
团队也先后通过了科技型中小企业、创新型中小企业认证、ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)以及国家信息安全漏洞库(CNNVD)技术支撑单位等认证,已构建了网络安全行业合格的资质体系。
More
8.数据恢复服务流程
① 免费咨询/数据诊断分析
专业的售前技术顾问服务,免费在线咨询,可第一时间获取数据中毒后的正确处理措施,防范勒索病毒在内网进一步扩散或二次执行,避免错误操作导致数据无法恢复。
售前技术顾问沟通了解客户的机器中毒相关信息,结合团队数据恢复案例库的相同案例进行分析评估,初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
您获取售前顾问的初步诊断评估信息后,若同意进行进一步深入的数据恢复诊断,我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
专业数据恢复工程师根据数据检测分析结果,定制数据恢复方案(恢复价格/恢复率/恢复工期),并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
您清楚了解数据恢复方案后,您可自主选择以下下单方式:
双方签署对公合同:根据中毒数据分析情况,量身定制输出数据恢复合同,合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款,双方合同签订,正式进入数据恢复专业施工阶段,数据恢复后进行验证确认,数据验证无误,交易完成。
④ 开始数据恢复专业施工
安排专业数据恢复工程师团队全程服务,告知客户数据恢复过程注意事项及相关方案措施,并可根据客户需求及数据情况,可选择上门恢复/远程恢复。
数据恢复过程中,团队随时向您报告数据恢复每一个节点工作进展(数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认)。
⑤ 数据验收/安全防御方案
完成数据恢复后,我司将安排数据分析工程师进行二次检查确认数据恢复完整性,充分保障客户的数据恢复权益,二次检测确认后,通知客户进行数据验证。
客户对数据进行数据验证完成后,我司将指导后续相关注意事项及安全防范措施,并可提供专业的企业安全防范建设方案及安全顾问服务,抵御勒索病毒再次入侵。
点击关注下方名片进入公众号 了解更多
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
索勒安全团队
索勒安全团队
索勒安全团队
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...