近日，深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒，其通过传播IQY（Microsoft Excel Web Query）附件，诱导用户打开附件，该附件通过请求网上数据执行powershell，用来进行病毒母体的下载。该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击，可以看到勒索病毒在使用多种技术以及方式进行攻击，让受害者防不胜防。

据悉，Buran勒索病毒实为VegaLocker勒索病毒的变种，两者在加密后都会修改文件后缀为生成的用户ID，勒索信息文件结构也十分相似：

左图为VegaLocker勒索病毒，右图为Buran勒索病毒

与VegaLocker勒索病毒有所不同的是，Buran的传播方式更加多变。如利用IQY附件进行传播，当打开IQY文件时，需要通过用户的交互才能成功利用，点击启用后excel会从外部资源导入数据：

iqy文件包含的命令内容是读取并执行http://ocean-v.com/wp-content/1.txt中包含的命令，调用cmd,cmd调用powershell下载运行勒索病毒：

随后解密出UKraine、Belorussia、Kazakhstan、Russian Federation，并比较地区代码，如有符合则退出程序不进行加密：

接着测试是否能在Temp目录下释放文件，如果可以则遍历进程，随机选取一个进程名称作为文件名，拷贝自身到%appdata% \Microsoft\Windows\目录下，否则退出程序：

自复制后以”-start”参数重新启动进程，并进行自删除。

当程序以带”-start”参数形式启动时，会在注册表中写入Public Key和Encrypted Private Key:

检查注册表项HKEY_CURRENT_USER\Software\Buran\Knock的值，如果不为0x29A，则连接URL” iplogger.org /1i8r57.jpg”，发送病毒版本和生成的ID，最后创建Knock键值写入0x29A：

随后以” -agent 0”参数重新启动进程。

当带” -agent 0”参数启动程序时，病毒会调用cmd执行命令用以关闭影响加密的服务，总计有200个命令行，相关命令行如下：

最后使用RSA+AES算法对文件进行加密，加密时会跳过指定目录和文件，以不影响系统运行：

解决方案

深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1、及时给电脑打补丁，修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件，不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

6、如果业务上无需使用RDP的，建议关闭RDP。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。