返回目录:经济新闻
360安全大脑监测发现,一个新型勒索病毒正在攻击Weblogic、Jboss、Tomcat等Web应用,在成功通过Web应用入侵Windows服务器后,利用PowerShell执行勒索病毒,加密机器上的重要文件并索要0.2比特币赎金。该勒索病毒之前未出现在其它厂商的报告中,我们根据其加密后缀名称将其命名为alanwalker勒索病毒。
alanwalker勒索病毒入侵服务器之后,通过PowerShell执行远程载荷,全程无文件落地,这在目前勒索病毒中较为少见。alanwalker入侵服务器后执行的命令如下图所示。
该PowerShell命令执行后会从hxxp://112.175.29.43/e.png下载勒索病毒本地载入到PowerShell内存中执行。勒索病毒使用AES-256加密服务器中的重要文件后使用硬编码在PowerShell载荷中的RSA公钥加密AES密钥。下图是文件加密部分的代码截图。
alanwalker勒索病毒加密超过420种文件类型,主要为在Windows服务器中较为重要的数据库文件、压缩包、文档和可执行文件等。加密文件类型如下图所示。
加密完成后,alanwalker勒索病毒还会使用"永恒之蓝"漏洞攻击武器攻击局域网中的其他机器,试图将勒索病毒植入局域网中其他机器内。
经过分析,alanwalker勒索病毒的主体代码、加密文件类型、勒索信息与360安全大脑2018年4月发现的Greystars勒索病毒极其相似。alanwalker勒索病毒可能为Greystars的变种,也可能两者使用了同一开发者所开发的勒索病毒。关于Greystars勒索病毒可以参考我们之前的报告:http://www.360.cn/newslist/dnaq/GreystarslsbdtxWeblogicfwdcwzzq.html。
值得一提的是,alanwalker勒索病毒在1月30日传播时曾经使用github仓库存储PowerShell载荷,不过载荷地址在第一时间已经失效。alanwalker勒索病毒存储载荷的方式与Greystars勒索病毒相同,而通过github等代码仓库存储恶意载荷的情况也屡见不鲜,并且在未来将可能成为一种主流趋势。
使用360安全卫士的用户无需担心,360安全卫士能够有效拦截alanwalker勒索病毒的攻击。此外,服务器管理员还应当及时修补操作系统、Web应用漏洞,使用强度高的系统登录密码和Web应用后台登录密码,防止被勒索病毒重复攻击。
IOCs
hxxp://112.175.29.43/e.png
hxxp://112.175.29.43/s.png
hxxps://raw.githubusercontent.com/alanwalkergod/impacket/master/tests/e.png