警惕Satan变种勒索病毒”5ss5c”
星期四, 三月 19, 2020
虽已到3月,疫情防控仍不可放松警惕,未完全复工的企业多采取远程办公的方式。为提高远程办公的效率,许多企业开启了业务系统的对外服务,这种模式无疑为蛰伏的网络攻击提供了可趁之机。
例如,疫情期间异常活跃的Satan勒索病毒的变种病毒——”5ss5c”
该病毒类似Satan为木马下载器,它下载并利用永恒之蓝和一些poc来进行传播,勒索模块就是cpt.exe,遍历7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip后缀名的文件然后加密,加密后添加后缀为.5ss5c,并提示勒索勒索一个比特币(5W多),如果在2天之内没有完成支付,则赎金翻倍。
众所周知,勒索病毒的赎金成本颇高,一旦爆发将致使企业损失惨重。在毫无前兆的高级变种勒索攻击的形势下,能够主动防御未知的高级威胁,且能快速识别并响应的防御体系是市场刚需。如果您已部署天蝎终端侦测与响应系统(EDR),即可轻松拦截此变种勒索病毒——
首先,登录天蝎威胁分析平台,在【威胁分析中心】统览整体网络态势
界面清晰显示了告警的主机数、告警排行、处置统计、自动拦截的威胁事件、流量最大的进程占比、事件类型统计、最新10条威胁告警,统览整体网络态势。
其次,通过威胁分析,查看【威胁告警】及【事件列表】
命名为“cptdat.exe”的恶意文件因频繁修改文件,于3月11日17:46:35被天蝎EDR拦截并告警:
通过事件列表可看出其攻击的主机及攻击源IP,且已被自动处置:
点击【查看】显示更多细节分析,包括【进程详情】及【威胁事件列表】
右侧的主机信息能确认被攻击的靶机,根据【文件描述】,显示此恶意文件正是勒索变种病毒“5SS5C”!
该勒索变种病毒为实现攻击目标,创建了16个文件,其创建的文件列表也被依次罗列出来:
通过第三方威胁鉴定平台VirusTotal官网https://www.virustotal.com/,可知此勒索变种病毒“5SS5C”的Hash值已被全球71个中的63个威胁情报引擎认定为恶意文件:
网思科平威胁分析中心建议,各企业、单位需全面落实网络安全等级保护制度,切实做好勒索病毒的安全防御准备,确保关键信息和基础设施的运行安全及数据安全,并采取以下紧急预防措施: