風險等級: | 高度威脅 |
摘 要: | 病毒通告: Ransom.Kasseika 勒索病毒 |
解決辦法: | 1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用戶必須禁用系統還原以允許對其電腦進行全面掃描。 2.確保資訊安全產品定期更新並執行定期掃描。 3.實行良好的電子郵件和網站安全實踐 – 下載附件、選擇 URL 以及僅從可信任來源執行程式 4.鼓勵使用者向安全團隊發出潛在可疑電子郵件和文件的警報,並使用工具阻止惡意電子郵件。 5.模仿社交工程及定期進行教育訓練。 6.定期備份關鍵數據,以防遺失。 |
細節描述: | Kasseika 利用 Martini 驅動程式 (Martini.sys/viragt64.sys)(TG Soft 的 VirtIT Agent 系統的一部分)來停用保護目標系統的防毒產品。在調查 Kasseika 勒索軟體案例中,它使用有針對性的網路釣魚技術進行初始訪問,並從目標公司的一名員工那裡收集憑證。然後,它使用遠端管理工具(RAT)來獲得特權存取並在其目標網路內橫向移動。
Kasseika使用合法的Windows PsExec工具來執行其惡意檔案並遠端執行惡意.bat檔案。 使用 BYOVD 攻擊,即利用載入驅動程式中的缺陷,惡意軟體獲得終止硬編碼清單中的 991 個進程的能力,其中許多進程對應於防毒產品、安全工具、分析工具和系統實用程式。 最終,Kasseika 啟動 Martini.exe 來終止防毒軟體進程,然後啟動主要勒索軟體二進位 (smartscreen_protected.exe)。 之後,執行“clear.bat”腳本以刪除攻擊痕跡。 最後,Kasseika 使用複雜的混淆和反偵錯技術,將其程式碼與 Themida 安全模組打包,並在加密檔案之前更改 Windows 註冊表。 該勒索軟體利用 ChaCha20 和 RSA 加密演算法對目標檔案進行加密,在檔案名稱後面附加偽隨機字串,類似於 BlackMatter。 Kasseika 在其加密的每個目錄中放置勒索字條,並更改電腦的桌面以顯示有關攻擊的註釋。 受害者被要求在 72 小時內存入 50 個比特幣(2,000,000 美元),每延遲解決 24 小時,就會另外增加 50 萬美元。 |
參考資訊: | Trendmicro |