安全動態(tài)

近日，天融信諦聽實驗室監(jiān)測到在野的Money Message勒索病毒，該組織是一種勒索軟件即服務(wù)(RaaS)模式犯罪團伙，攻擊全球各行業(yè)知名企業(yè)，通過竊取并加密用戶數(shù)據(jù)、索要巨額贖金獲取巨大收益。

據(jù)該組織地下網(wǎng)絡(luò)博客稱，目前還有接近2百萬條待公開的受害者記錄，目前受害者包括美國最大的藥房藥物公司PharMerica、微星國際（MSI）計算機硬件提供商、商業(yè)財產(chǎn)和意外傷害保險服務(wù)商Golden Bear等。

經(jīng)驗證，天融信下一代防火墻、EDR、自適應(yīng)安全防御系統(tǒng)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、病毒過濾網(wǎng)關(guān)可精確檢測并查殺該勒索病毒，提供全面的安全保護，有效阻止該事件蔓延。

病毒分析

Money Message勒索病毒使用C++語言編寫，目前最早在野樣本出現(xiàn)在3月19日。

Money Message勒索病毒的運行界面如下圖所示。首先枚舉并結(jié)束指定的進程與服務(wù)，并搜索受害主機上的本地磁盤類型。

調(diào)用系統(tǒng)程序ssadmin.exe 執(zhí)行delete shadows /all /quiet命令刪除卷影副本，防止加密文件后被本地服務(wù)數(shù)據(jù)恢復備份。

之后創(chuàng)建多個線程執(zhí)行加密，占用CPU較高性能。由于采用的算法強度較高，加密文件的速度比較慢，如果在加密過程中發(fā)現(xiàn)并結(jié)束勒索可以挽回一定損失。

如下是勒索病毒運行過程中內(nèi)存中會解密的配置文件，包含了加密過程的黑名單進程與服務(wù)名稱，白名單文件目錄，網(wǎng)絡(luò)密鑰等重要信息。

此外勒索病毒在軟件中內(nèi)嵌了加密的白名單文件列表，包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。

和常規(guī)勒索病毒不同的是，Money Message在加密文件后并不會更改文件后綴，這直接導致一些可執(zhí)行文件在被加密后會出現(xiàn)格式報錯，文本類文件可以直接打開但數(shù)據(jù)被加密出現(xiàn)亂碼。

在C盤釋放的money_message.log實則是勒索信，告知受害者繳納贖金的談判地址，并警告受害者如果在規(guī)定時間內(nèi)拿不到贖金，將會公布受害者的私密數(shù)據(jù)。

Money Message勒索病毒采用ECDH和ChaCha20算法加密用戶數(shù)據(jù)，該加密方式速度雖慢，但加密強度較高，目前還無法破解。

附錄：

Money Message勒索加密配置文件：

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/money_message_ransom_config.json

樣本IOC列表：

防護建議

及時修復系統(tǒng)及應(yīng)用漏洞，降低被Money Message勒索病毒通過漏洞入侵的風險。

加強訪問控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風險暴露面。

更改系統(tǒng)及應(yīng)用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊。

定期進行數(shù)據(jù)備份，并將這些備份數(shù)據(jù)保存在離線環(huán)境或單獨的網(wǎng)絡(luò)中。

安裝天融信安全產(chǎn)品加強防護，天融信下一代防火墻、EDR、自適應(yīng)、僵木蠕、病毒過濾網(wǎng)關(guān)，可有效防御該勒索病毒。

天融信產(chǎn)品防御配置

一、天融信下一代防火墻系統(tǒng)防御配置

1、通過訪問控制策略加強禁用不必要的端口、服務(wù)，縮小資產(chǎn)暴露面，降低傳染風險；

2、開啟弱口令防護、暴力破解防護功能，可有效降低口令破解風險;

3、升級到最新病毒特征庫，配置病毒防護策略，可有效檢測并阻斷勒索病毒傳播。

4、開啟聯(lián)動功能，獲取天融信EDR、天融信病毒過濾網(wǎng)關(guān)、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)等產(chǎn)品檢測結(jié)果，及時攔截傳播/感染源，控制網(wǎng)絡(luò)傳播范圍；

5、開啟資產(chǎn)防護功能，啟用資產(chǎn)行為基線功能，通過檢測資產(chǎn)異常行為，可及時發(fā)現(xiàn)隱藏攻擊行為并啟用策略進行阻斷。

二、天融信EDR系統(tǒng)防御配置

1、通過微隔離策略加強訪問控制，降低橫向感染風險；

2、開啟文件實時監(jiān)控功能，可有效預防和查殺該勒索病毒;

3、開啟系統(tǒng)加固功能，可有效攔截該勒索病毒對系統(tǒng)關(guān)鍵位置進行破壞和篡改。

三、天融信自適應(yīng)安全防御系統(tǒng)防御配置

1、通過微隔離策略加強訪問控制，降低橫向感染風險；

2、通過風險發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風險、減少資產(chǎn)暴露；

3、開啟病毒實時監(jiān)測功能，可有效預防和查殺該勒索病毒。

四、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)配置

1、升級最新威脅情報庫，開啟威脅情報惡意文件檢測和捕獲功能，實時檢測和捕獲網(wǎng)絡(luò)中的勒索病毒；

2、開啟威脅情報日志記錄和報警功能；

3、可配置旁路阻斷或者天融信防火墻聯(lián)動，攔截勒索病毒網(wǎng)絡(luò)傳播。

五、天融信病毒過濾網(wǎng)關(guān)防御配置

1、升級到最新病毒特征庫；

2、開啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測；

3、配置病毒檢測處置策略;

4、開啟日志記錄和報警功能。

天融信產(chǎn)品獲取方式

天融信下一代防火墻、過濾網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)等產(chǎn)品特征庫下載地址: ftp://ftp.topsec.com.cn

天融信自適應(yīng)安全防御系統(tǒng)、天融信EDR企業(yè)版試用：可通過天融信各地分公司獲取。查詢網(wǎng)址：

http://www.jinri-gushi.com/contact/

天融信EDR單機版下載地址：http://edr.topsec.com.cn