360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器电脑蓝屏?可能是“锁蓝”勒索病毒在作妖!
- 2019-05-10 22:31:15
近日,360安全大脑监测到了一款新型勒索病毒正在大肆传播。由于该病毒在感染主机后,会将受害电脑的桌面屏幕设置成为深蓝色,并在加密电脑文件后向用户实施勒索,因此360安全团队将其形象地命名为“锁蓝”勒索病毒。
今年4月底,360安全大脑就监控到有黑客在利用各类Web组件漏洞攻击用户服务器,并植入“锁蓝”勒索病毒。随后黑客还开始尝试使用更多方式传播该病毒,以扩大传播范围。同时,该病毒还利用了CVE-2018-8453 Windows内核提权漏洞,使病毒威力进一步加强。不过广大用户不必担心,360安全卫士无需升级即可拦截该勒索病毒。
“锁蓝”勒索病毒勒索信息
独宠Weblogic有隐情,因高额保护费弃用GandCrab?
虽然“开拓”了许多新的传播方式,但“锁蓝”近期最常用的,还是通过Web应用漏洞攻击服务器来植入勒索病毒。在攻击目标的选择上,“锁蓝”也显得十分专一,Weblogic占所有被攻击应用的90%以上。
为什么会出现这种“只薅一只羊”的情况呢?360安全大脑经过分析之后发现了这背后的原因:攻击者主要使用的是一个4月底最新披露的Weblogic远程代码执行漏洞,因为许多用户还没来得及打补丁,“锁蓝”才会屡屡得手。于是,Weblogic就成了那只“最容易薅的羊”。
而“锁蓝”背后的料还不止这些。360安全团队通过家族关联发现,今年4月底投递“锁蓝”勒索病毒的攻击团伙,与之前攻击服务器植入GandCrab勒索病毒的攻击团伙有较大关联,两者使用了多个相同的C&C,代码的混淆上也有很多相似之处!
监测数据显示4月中旬,该团伙在进行Web服务器攻击时,还在投递GandCrab勒索病毒。而最近该团伙在投递“锁蓝”勒索病毒的同时,也还会向部分服务器投递GandCrab 5.2勒索病毒。这些情况都表明,传播两款勒索病毒的,很有可能是同一个网络犯罪团伙。
那么,为何他们不再大肆传播GandCrab勒索病毒而是选择一种新的勒索病毒呢?
对此,360安全团队猜测,这也许是因为该攻击团伙不愿意继续向GandCrab勒索病毒开发团队支付私钥购买费用,想要“另立山头”。据悉,GandCrab勒索病毒开发者曾“明码标价”:传播该病毒的黑客可以以每个100美元或者每周300美元的形式向病毒开发者购买私钥。这种高昂且持续的“病毒版权费”(或者可以称作“保护费”),或许就是该攻击团伙逐渐放弃GandCrab转为传播“锁蓝”的重要原因。
全面撒网重点捕捞?
360安全大脑强力查杀!
攻击Web应用还未停歇,垃圾邮件也成了“锁蓝”勒索病毒最热衷的传播方式。在5月1日-5月8日期间,360安全大脑捕捉到两种通过垃圾邮件传播的“锁蓝”勒索病毒载体,一种是伪装成图片的可执行文件,另一种则是带有恶意宏的Word文档。
从勒索病毒所使用的文件名看,攻击者的目标为韩语使用者。根据360安全大脑监控数据得知,遭到该钓鱼邮件攻击的国内用户主要为韩语教学从业者、外贸行业从业者、在华韩国人,除此之外,运输行业从业者也是易受攻击的人群。以“报价”、“发票”等字样作为文件名的钓鱼文档是以上这些行业遭到的攻击中最常见的。
针对此类攻击,360安全大脑提醒广大管理员和企业用户做好防护,抵御勒索病毒攻击,同时建议服务器管理员应及时为系统及系统中运行的Web应用安装补丁,并使用强度较高的系统登录密码和Web应用后台登录密码。
对于普通用户,360安全大脑建议不要随意打开来源不明的邮件中的附件、文档、链接等,尤其是带有“报价”、“发票”等字样的文件更要小心,同时安装360安全卫士拦截“锁蓝”勒索病毒,保护电脑安全。
IOCs:
hxxp://165.22.155.69/wolf.exe
hxxp://188.166.74.218/go.b64
hxxp://188.166.74.218/fox.exe
hxxp://188.166.74.218/dog.exe
hxxp://188.166.74.218/ment.exe
hxxp://188.166.74.218/office.exe
hxxp://188.166.74.218/untitled.exe
hxxp://188.166.74.218/radm.exe
hxxp://45.55.211.79/.cache/untitled.exe
hxxp://68.183.62.59/horse.exe
8e00206418ab31539111515533a9953f
77fcd5f32613cec97cd2ebd2922685d2
5648049aade846e138f4d7c80b592505
145ba213336bbb05c09d2bcf198aa3bd
京公网安备 11000002000006号