我们一直在跟踪新一轮的MongoLock勒索软件攻击,这些攻击立即在感染后删除文件,而不是对其进行加密,然后进一步扫描其他可用的文件夹和驱动器以删除文件。 自2018年12月以来,勒索软件一直在狂奔中,要求受害者在24小时内向受害者支付0.1比特币,以检索据称保存在网络分子服务器中的文件。 检查了200多个样本,我们的遥测结果显示韩国,英国,,阿根廷,加拿大,德国,的感染次数最多。 “ id =” 46“ data-gr-id =” 46“>和。 发现时,趋势科技的机器学习和行为检测技术会主动阻止该勒索软件。
常规与行为
让人想起2018年9月的MongoLock攻击,我们发现此特定活动还针对安全设置较弱的数据库。 此外,我们发现该勒索软件托管在PythonAnywhere上,这是一个基于Python的在线集成开发环境(IDE)和网络托管服务。 访问 hxxp://update.pythonanywhere.com/d ,它会下载名为 update.exe 的可执行文件,同时访问 hxxp://update.pythonanywhere。 com 将用户重定向到以中文编写的游戏网站的模拟页面。 在发布时,该站点仍为实时,并且网络罪犯经常更改勒索软件 网站上的样本。 使用 hxxp :// {user-defined}的任何主机。 pythonanywhere.com 可能容易受到滥用。
[阅读:新的多平台Xbash包混淆,勒索软件, 硬币矿工,蠕虫和僵尸网络]
与通常的勒索软件例程(其中文件被加密)相反,此变体删除了在驱动器A和D中找到的重要数据,并将赎金记录丢入数据库中。
图1. 赎金留在感染MongoLock的单位的数据库中。
勒索软件扫描,然后删除在“文档”,“桌面”,“近期”,“收藏夹”,“音乐”,“视频”和“回收站”文件夹中找到的文件,并格式化可用的备份驱动器。 根据赎金记录,已删除文件的副本使用加密的HTTPS协议上传到URL,并且我们跟踪了ToR网络中托管的电子邮件和命令与控制(C&C)服务器。 受感染的计算机脱机后,文件删除将继续进行,从而使文件无法恢复。 分析沙箱后,我们没有发现数据库扫描和搜索的痕迹,这可能意味着删除的数据仅影响在指定目录中找到的物理文件。
[阅读:网络的演变]
据报道,最近Ryuk勒索软件攻击导致主要报纸的印刷业务停止,因此我们将继续关注并调查这一活动。 我们怀疑网络分子仍在研究可以从中获得最大利润的行业和技术,并建议企业重新访问并确保其安全策略和程序到位。 建议管理员查看其在线数据库和服务器设置以相应地保护它们。 防御这种威胁: 更新您的系统和软件,以防止网络罪犯滥用可能的入口点和感染渠道。 练习3-2-1系统。 使用可以扫描和阻止恶意URL的多层安全解决方案。
[阅读:通过可管理的检测和响应弥合网络安全漏洞]
趋势科技解决方案
Trend Micro XGen™安全性提供了跨代的威胁防御技术组合,可针对数据中心,云环境,网络和端点的各种威胁进行防御。 它将高保真机器学习与其他检测技术和全球威胁情报融合在一起,以全面防御高级恶意软件。 智能,优化和连接的XGen™为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。
妥协指标
SHA256
检测
698be23b36765ac66f53c43c19ea84d9be0c3d7d81983726724df6173236defa
RANSOM.WIN32.MONGOLOCK.THOAOBAI 恶意域名/ URL: hxxp://update.pythonanywhere.com/d(到达向量) hxxps://s.rapid7.xyz / 104.27.178.191(C&C) 还有Matthew Camacho和Paul Pajares的其他见识
自PST 2019年1月9日晚上7点开始更新:
PythonAnywhere 已删除该站点。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢