近日,终端安全团队收到一起安全求助,用户反馈其主机文件被加密,加密后缀为”.perfection”。通过安全专家的深入分析,发现这次勒索事件比较特别,虽然只有一种文件加密后缀,然而事实上是中了两种不同的勒索病毒,分别为MedusaLocker和GlobeImposter。
攻击现象
如下为加密现场,可以看到同时有MedusaLocker和GlobeImposter这两种勒索家族的勒索信息,其中GlobeImposter的勒索信息文件已经被加密:
在中毒主机中发现了MedusaLocker和GlobeImposter的勒索病毒文件,分别命名为”perf1.exe”和”perf2.exe”,如下:
下图左侧为MedusaLocker,右侧为GlobeImposter的勒索信息,可以看到其联系邮箱相同:
我们知道,不同家族的勒索病毒由于其加密方式不同,所以解密方式也不相同,多次加密往往会对解密造成更大的困难以及不确定因素,因此会造成更大的危害。
传播方式
MedusaLocker及GlobeImposter勒索病毒都不具备主动传播行为,通常通过钓鱼邮件、RDP暴破等方式进行传播。在攻击现场,通过排查日志可以看到攻击方式为RDP暴破,如下为登录成功记录:
同时在中毒主机上发现了多种黑客工具,主要用于内网扫描、窃取密码、关闭防火墙等:
来源:freebuf.com 2021-07-22 20:19:07 by: 深信服千里目安全实验室
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册