记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

警惕Satan变种勒索病毒”5ss5c”

2020-03-19 18:02

48小时内未支付    赎金翻倍

警惕Satan变种勒索病毒5ss5c

虽已到3月,疫情防控仍不可放松警惕,未完全复工的企业多采取远程办公的方式。为提高远程办公的效率,许多企业开启了业务系统的对外服务,这种模式无疑为蛰伏的网络攻击提供了可趁之机。

例如,疫情期间异常活跃的Satan勒索病毒的变种病毒——”5ss5c”

该病毒类似Satan为木马下载器,它下载并利用永恒之蓝和一些poc来进行传播,勒索模块就是cpt.exe,遍历7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip后缀名的文件然后加密,加密后添加后缀为.5ss5c,并提示勒索勒索一个比特币(5W多),如果在2天之内没有完成支付,则赎金翻倍

天蝎EDR轻松拦截5ss5c

众所周知,勒索病毒的赎金成本颇高,一旦爆发将致使企业损失惨重。在毫无前兆的高级变种勒索攻击的形势下,能够主动防御未知的高级威胁,且能快速识别并响应的防御体系是市场刚需。如果您已部署天蝎终端侦测与响应系统(EDR),即可轻松拦截此变种勒索病毒——

首先,登录天蝎威胁分析平台,在【威胁分析中心】统览整体网络态势

界面清晰显示了告警的主机数、告警排行、处置统计、自动拦截的威胁事件、流量最大的进程占比、事件类型统计、最新10条威胁告警,统览整体网络态势。


其次,通过威胁分析,查看【威胁告警】及【事件列表】

命名为“cptdat.exe”的恶意文件因频繁修改文件,于3月11日17:46:35被天蝎EDR拦截并告警:

通过事件列表可看出其攻击的主机及攻击源IP,且已被自动处置:

 

点击【查看】显示更多细节分析,包括【进程详情】及【威胁事件列表】

右侧的主机信息能确认被攻击的靶机,根据【文件描述】,显示此恶意文件正是勒索变种病毒“5SS5C”!

该勒索变种病毒为实现攻击目标,创建了16个文件,其创建的文件列表也被依次罗列出来:

通过第三方威胁鉴定平台VirusTotal官网https://www.virustotal.com/,可知此勒索变种病毒“5SS5C”的Hash值已被全球71个中的63个威胁情报引擎认定为恶意文件:

防御措施

网思科平威胁分析中心建议,各企业、单位需全面落实网络安全等级保护制度,切实做好勒索病毒的安全防御准备,确保关键信息和基础设施的运行安全及数据安全,并采取以下紧急预防措施:

  • 及时备份重要数据,健全备份管理机制
  • 安装恶意程序防护软件,开启主机防火墙,关闭非必要的服务和端口(如135、139、445、3389等高危端口)
  • 强化系统的密码口令,不同端点避免使用相同或相似的密码口令
  • 升级服务器操作系统,及时更新漏洞补丁
  • 在系统的关键节点建议部署天蝎终端侦测与响应系统(EDR)
  • 及时隔离、处置已感染的主机,避免内网横向扩散

 

知识来源: https://www.aqniu.com/vendor/65491.html

阅读:18696 | 评论:0 | 标签:厂商供稿

想收藏或者和大家分享这篇好文章→复制链接地址

“警惕Satan变种勒索病毒”5ss5c””共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云