资安趋势部落格 https://blog.trendmicro.com.tw/?p=58693 勒索病毒MongoLock变种不加密，直接删除档案，再格式化备份磁碟,台湾列为重大感染区 最近有两只令人瞩目的勒索病毒,继媒体报导专瞄准大企业,半年获利近400万美元的 Ryuk 勒索病毒後,新一波的勒索病毒MongoLock变种更狠, 会直接删除特定目录内的档案 , 中毒电脑在离线後仍会继续删除档案，让档案无法回覆。甚至会格式化并格式化可用的 备份磁碟。 趋势科技一直在关注新一波的MongoLock勒索病毒攻击，这波攻击会在感染时删除档案而 非进行加密，并且会进一步扫瞄可用资料夹和磁碟来进行档案删除。此波勒索病毒从2018 年12月开始出现，会要求受害者在24小时内支付0.1比特币来取回据称保存在骇客伺服器 内的档案。我们的监控资料侦测到200多个样本，台湾、香港、韩国、英国、美国、阿根 廷、加拿大和德国,是中毒数量最高的地区。趋势科技的机器学习(Machine learning,ML) 和行为侦测技术能够主动地封锁此勒索病毒。 与一般先加密的勒索病毒不同，直接删除重要资料，备份硬碟，再发勒赎通知 2018年9月的MongoLock攻击也是针对安全设定较弱的资料库。此外，我们发现这勒索病毒 被放在PythonAnywhere上，这是基於Python的线上整合开发环境（IDE）和网页托管服务 。连到hxxp://update.pythonanywhere.com/d会下载可执行档 （update.exe），同时连 到hxxp://update.pythonanywhere.com将使用者导到中文编写的游戏网站模拟页面（ PythonAnywhere已经了移除此网站）。骇客会经常地更改网站上的勒索病毒,使用 hxxp://{user-defined}.pythonanywhere.com的主机可能都容易被滥用。 与一般看到的勒索病毒加密行为不同，此变种会删除在磁碟A和D内找到的重要资料并将勒 赎通知加入资料库。 勒索病毒会扫瞄和移除「 文件 」、「 桌面 」、 「 最近 」、「 我的最爱 」、「 音乐 」、「 影片 」和「 资源回收筒 」等特定资料夹内的档案，并格式化可用的备份 磁碟。根据勒赎通知，被删除档案的副本会用加密的HTTPS协定上传到一个网址，我们追 踪电子邮件找到托管在ToR网路内的命令与控制（C&C）伺服器。中毒电脑在离线後仍会继 续删除档案，让档案无法回覆。我们透过沙箱分析没有发现资料库扫瞄和搜寻的迹象，这 可能代表资料删除只针对特定目录内找到的实体档案。 勒索病毒持续觊觎能够获取最大利润的产业 在最近的Ryuk勒索病毒攻击据报让美国主要报纸印刷业务停摆之後，我们继续地关注并调 查此攻击活动。我们怀疑网路犯罪分子仍在研究能够获取最大利润的产业，建议企业该重 新审视并确保自己部署了该有的安全政策和软体。建议管理者检查线上资料库和伺服器设 定以做好防护。为了抵御此威胁： 更新你的系统和软体来避免成为让网路犯罪分子可用的进入点或感染管道。 实作3-2-1 备份原则。 使用能够扫瞄和封锁恶意网址的多层次安全解决方案。 趋势科技解决方案 趋势科技的XGen安全防护为资料中心、云端环境、网路和端点，提供能够对抗各类威胁的 跨世代威胁防御技术。它融合了高保真机器学习(Machine learning,ML)与其他侦测技术 和全球威胁情报，能够全面性地抵御进阶恶意软体。精准、最佳化、环环相扣的XGen防护 技术驱动着趋势科技一系列的防护解决方案：Hybrid Cloud Security（混合式云端防护 ），User Protection（使用者防护）和Network Defense（内网防护）。 入侵指标 SHA256 698be23b36765ac66f53c43c19ea84d9be0c3d7d81983726724df 6173236defa 侦测名称 RANSOM.WIN32.MONGOLOCK.THOAOBAI 恶意网域/网址： Hxxp://update.pythonanywhere.com/d（病毒载体） Hxxps://s.rapid7.xyz / 104.27.178.191（C&C） --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 218.161.108.168 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1547948676.A.7C6.html ※ 编辑: DPP48 (218.161.108.168), 01/20/2019 09:46:55