图片展示

腾讯安全检测到新勒索病毒MAKOP通过邮件传播

发表时间: 2020-02-21 00:00:00


一、概述

腾讯安全威胁情报中心检测到新型勒索病毒makop在国内开始活跃,已有企业遭受到该病毒攻击。makop勒索病毒出现于2020年1月下旬,这是一个新出现的勒索家族,该病毒加密文件完成后会添加.makop扩展后缀,目前已知主要通过恶意邮件渠道传播。


makop病毒作者疑似俄语系国家,根据其在网络公开的更新计划,可知在近期时间内病毒更新频繁,由于该病毒使用RSA+AES的方式加密文件,暂无有效的解密工具,因此,我们提醒各政企机构提高警惕,做好安全防范措施。


中招网民发布的求助信息

 

makop病毒作者发布的推广信息

makop病毒作者发布在某俄语论坛(https://t.co/6HDvKX0OZI?amp=1)的更新信息


该勒索病毒同以往发现的俄语系勒索病毒有较多相似之处:

加密时会尝试结束后台应用的进程,以独占文件完成加密;排除部分加密白名单文件不加密;病毒会尝试加密有写权限的网络共享文件;加密结束后,会删除系统卷影信息,以防止用户通过文件恢复功能找回文件。

以下是该病毒的详细分析:

二、分析

makop勒索病毒内部使用的所有字串,使用前均使用内部硬编码KEY进行AES解密,其中包含了病毒使用的主RSA公钥信息,部分动态调用的API信息,白名单信息,勒索扩展后缀,邮箱信息,勒索信内容等信息。


病毒使用RSA公钥信息


加密文件前,首先会枚举当前系统中被占用的文件句柄,随后尝试结束掉文件占用进程,以防止文件被占用导致文件加密失败。


加密文件时,首先对每个文件生成AES-IV,然后导入全局生成的AES密钥,最终使用AES算法完成对文件的加密



病毒加密文件时会过滤以下白名单文件
boot.ini、bootfont.bin、ntldr、ntdetect.com、io.sys、readme-warning.txt

该病毒同样会加密局域网内的可写共享资源


加密文件结束后,最终使用以下命令删除系统卷影信息,防止通过文件恢复功能找回文件


文件被加密为原始文件名.[ID].[buydecryptor@cock.li].makop


留下名为readme-warning.txt的勒索说明文档



三、安全建议

企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。


8、建议企业用户全网安装腾讯T-Sec终端安全管理系统防御病毒攻击(https://s.tencent.com/product/yd/index.html)。腾讯安全T-Sec终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。


个人用户:
1、切勿随意打开陌生邮件附件,强烈建议关闭Office执行宏代码;
2、启用腾讯电脑管家的实时防护功能拦截病毒。


3、打开腾讯电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

MD5:
2ef9ca2508d649500348c8712229e97b
f74616a400973b5d1a5d8c039817ff03
3fea7d7e5fd61292e882d78d9d3862e6



来源:腾讯御见威胁情报中心

联系我们

您能给我们多少的信任,我们就能给您多大的惊喜!

张掖市时代网络科技有限责任公司

公司地址:国家级张掖经济技术开发区创业大厦6

公司电话:0936-5996002

公司网址:www.times-e.com

电子邮箱:375264376@qq.com

 

 

旗下微信端自媒体城市门户平台

我要为张掖

 

 

旗下直播端自媒体城市门户平台

金张掖河西同城直播

  

版权所有 © 张掖市时代网络科技有限责任公司

ICP备案号: 陇ICP备14001555号-4