当前位置: 首页 > 网络安全 > 正文

Dharma勒索病毒最新变种预警

【来源: | 发布日期:2019-05-27 】
近日,亚信安全网络监测实验室截获Dharma勒索病毒最新变种,Dharma勒索病毒又名Crysis,亚信安全在2016年首次发现该病毒,近期该勒索病毒再次活跃,2019年2月到4月共增长了148%。此次变种主要是利用垃圾邮件发动攻击,并伪装成合法的安装程序进行传播,亚信安全将其命名为RANSOM.WIN32.DHARMA.THDAAAI。
Dharma勒索病毒分析    
Dharma勒索病毒利用垃圾邮件发动攻击,通常垃圾邮件中会包含有一个下载链接。
【包含Dharma勒索软件的垃圾邮件范例】
当用户点击下载链接时,系统会提示用户输入垃圾邮件中提供的密码,并下载自解压文件Defender.exe,该文件运行后生成恶意程序taskhost.exe和ESET 防病毒软件的旧版本安装程序Defender_nt32_enu.exe。 其中,taskhost.exe就是真正的Dharma勒索病毒。其感染链如下图:
【Dharma勒索软件感染链】
当自解压文件运行时,用户看到的界面是在安装ESET AV Remover 程序,实际上Dharma勒索病毒已经在后台悄悄加密文件。
【运行自解压文档Defender.exe】
【安装ESET AV Remover 程序界面】
值得注意的是,不管AV Remover是否安装启动,该勒索软件都会加密系统上的文件。 AV Remover具有合法的数字签名,勒索软件与AV Remover捆绑可以逃避杀毒软件检测,也可以诱骗用户点击运行勒索病毒。AV Remover签名如下图:
【ESET安装文件具有有效的数字签名】
解决方案
  • 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 浏览网页时不下载运行可疑程序;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全解决方案
  • 亚信安全病毒码版本15.121.60.,云病毒码版本15.121.71.,全球码版本15.123.00已经可以检测,请用户及时升级病毒码版本。

IOCs
文件名称
SHA256
病毒码
Defender.exe
a5de5b0e2a1da6e958955c189db72467ec0f8daaa9f9f5ccc44e71c6c5d8add4
Ransom.Win32.DHARMA.THDAAAI
Taskhost.exe1
703b57adaf02eef74097e5de9d0bbd06fc2c29ea7f92c90d54a0b9a01172babe
Ransom.Win32.DHARMA.THDAAAI
Defender_nt32_enu.exe1
0d7e4d980ae644438ee17c1ea61ac076983ec3efb3cc9d3b588d2d92e52d7c83
正常的 ESET AV 卸载文件
packager.dll
083b92a07beebbd9c7d089648b1949f78929410464578a36713033bbd3a8ecea
正常文件
panmap.dll
9ada26a385e8b10f76b7c4f05d591b282bd42e7f429c7bbe7ef0bb0d6499d729
正常文件
sspisrv.dll
f195983cdf8256f1d1425cc7683f9bf5c624928339ddb4e3da96fdae2657813d
正常文件
sstpsvc.dll
39d3254383e3f49fd3e2dff8212f4b5744d8d5e0a6bb320516c5ee525ad211eb
正常文件
payload3.exe
955544abc801355ee1e8e48488c6e9150d431fec63b7e74d19f22982b396e637
Ransom.Win32.CRYSIS.SM