兩隻新勒索病毒:Snatch重啟電腦進入安全模式/ Zepplin鎖定歐美

近日出現兩隻值得注意的勒索病毒 Ransomware (勒索軟體/綁架病毒) – Snatch和Zeppelin。Snatch勒索病毒可以強迫Windows電腦重新啟動進入安全模式。而Zeppelin勒索病毒則感染了歐洲和美國的醫療和IT公司。

Snatch勒索病毒重啟電腦進入安全模式來躲避安全防護

Snatch會重新啟動受感染電腦進入安全模式來繞過安全軟體以加密檔案而不被偵測。這樣做的原因是安全軟體通常不會在Windows安全模式下執行,因為此模式是用來除錯和回復有問題的作業系統(OS)。

研究人員發現勒索病毒作者利用Windows登錄檔來排程一個名為SuperBackupMan的Windows服務,此服務可以在安全模式下執行,無法被停止或暫停。此惡意軟體甚至會進一步刪除系統上所有的磁碟區陰影複製來防止鑑識回復加密檔案。

Snatch勒索病毒最早於2018年被發現,它的目標並不是家庭使用者,也沒有利用垃圾郵件或瀏覽器漏洞等大規模散播方式。此惡意軟體操作者只專注在小部分的目標,包括公司和政府組織。操作者還會在駭客論壇上招募駭客來從目標組織竊取資訊。

Zeppelin勒索病毒針對歐洲和美國的醫療和IT公司

Zeppelin是VegaLocker/Buran勒索病毒的新變種,被發現會透過針對性安裝感染位於歐洲和美國的公司。根據BlackBerry Cylance的報導,Zeppelin勒索病毒屬於勒索病毒即服務(RaaS)模式,被發現感染了某些醫療和IT公司。

Zeppelin勒索病毒似乎有很高的可設定性,可以部署為.dll或.exe檔案,也可以封裝進PowerShell載入器。除了會加密檔案外,它還會終止許多種程序,包括了備份、資料庫和郵件伺服器相關的程序。Zeppelin執行檔經過三層混淆技術封裝。它的勒贖通知從一般通用訊息到為特定組織量身定制的詳細說明都有。值得注意的是,Zeppelin勒索病毒似乎沒有被大量散播 – 或至少尚未發生。

研究人員認為Zeppelin類似於Sodinokibi勒索病毒,透過託管服務商(MSP)散播以進一步影響客戶。此外,勒索病毒還可以透過惡意廣告和水坑攻擊散播。

如何抵禦勒索病毒?

除了保持作業系統在最新狀態來消除會被攻擊的漏洞外,使用者還應採用3-2-1 備份原則的資料備份最佳實作。同時使用者可以部署全面性的多層次安全解決方案來防止來自不同進入點的勒索病毒攻擊。使用者和組織可以採取下列措施來防範勒索病毒攻擊:

  • 保護會面向網路開放的端口和服務
  • 啟用多因子身份認證來保護管理員帳號抵禦可能的暴力破解攻擊
  • 防護遠端存取工具,它們可能會被用作進入點
  • 採用最小權限原則並且定期監視網路內的威脅
  • 定期執行密碼稽核來加強存取控制

趨勢科技解決方案(如Smart Protection Network™Worry-Free Business Security)具備行為監測功能,可以偵測惡意檔案、腳本和郵件並封鎖所有相關網址來保護使用者和企業抵禦此類威脅。趨勢科技的XGen安全防護技術提供跨世代的混合威脅防禦技術來對抗端點網路伺服器以及閘道所會面臨的各種威脅。它融合了高保真機器學習(Machine learning,ML)與其他偵測技術和全球威脅情報來全面性的防禦進階惡意軟體。

入侵指標(IoC

Snatch勒索病毒

SHA-256 趨勢科技預判式機器學習偵測 趨勢科技病毒碼偵測
081fb13b0f7ee9750c2ea3ae037a29ec87a313b99a693027d42021cfda869fd8 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
78816ea825209162f0e8a1aae007691f9ce39f1f2c37d930afaf5ac3af78e852 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
d0ddc221b958d9b4c7d9612dd2577bec35d157b41aa50210c2ae5052d054ff33 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
c81b5271551d526d881bd5840256ea9168e3be0c13695a827195e3c56f524457 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
fe8ba1eaf69b1eba578784d5ab77e54caae9d90c2fb95ad2baaaef6b69a2d6cb Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
ebcded04429c4178d450a28e5e190d6d5e1035abcd0b2305eab9d29ba9c0915a Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
e8931967ed5a4d4e0d7787054cddee8911a7740b80373840b276f14e36bda57d Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
5f24536e48f406177a9a630b0140baadff1e29f36b02095b25e7e21c146098bb Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
eebc57e9e683a3c5391692c1c3afb37f3cb539647f02ddd09720979426790f56 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
25e0cff6bb669ed31b8ddaf46807ed5bc74a6dac05151db291ac0b6a74a0a015 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
28125dae3ab7b11bd6b0cbf318fd85ec51e75bca5be7efb997d5b950094cd184 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
80cc8e51b3b357cfc7115e114cecabc5442c12c143a7a18ab464814de7a66ab4 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
0ce4c4af321ff02928aacf105f03dead87e85003080586615755f278770f5adb Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
36a4311ef332b0b5db62f8fcabf004fdcfbbde62f791839a8be0314604d814c4 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
329f295b8aa879bedd68cf700cecc51f67feee8fd526e2a7eab27e216aa8fcaa Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
ab6b0d00ba8f8553c015743b9da8761a9b1fca750d3f73bda573a8fbc47dafa1 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B
63c2c1ad4286dbad927358f62a449d6e1f9b1aa6436c92a2f6031e9554bed940 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win64.SNATCH.AB
c0f506e98f416412b3a9dcd018341afab15e36b15bac89d3b02ff773b6cc85a6 Troj.Win32.TRX.XXPE50FFF033 Ransom.Win32.SNATCH.B

Zeppelin勒索病毒

SHA-256, 惡意網址和郵件地址 趨勢科技病毒碼偵測
04628e5ec57c983185091f02fb16dfdac0252b2d253ffc4cd8d79f3c79de2722 Ransom.Win32.ZEPPELIN.A
39d8331b963751bbd5556ff71b0269db018ba1f425939c3e865b799cc770bfe4 Ransom.Win32.ZEPPELIN.A
4894b1549a24e964403565c61faae5f8daf244c90b1fbbd5709ed1a8491d56bf Ransom.Win32.ZEPPELIN.A
e22b5062cb5b02987ac32941ebd71872578e9be2b8c6f8679c30e1a84764dba7 Ransom.Win32.ZEPPELIN.A
1f94d1824783e8edac62942e13185ffd02edb129970ca04e0dd5b245dd3002bc Ransom.Win32.ZEPPELIN.A
d61bd67b0150ad77ebfb19100dff890c48db680d089a96a28a630140b9868d86 Ransom.Win32.ZEPPELIN.A
hxxps://iplogger.org/1HVwe7[.]png
hxxps://iplogger.org/1HCne7[.]jpeg
hxxps://iplogger.org/1Hpee7[.]jpeg
hxxps://iplogger.org/1syG87
hxxps://iplogger.org/1H7Yt7[.]jpg
hxxps://iplogger.org/1wF9i7[.]jpeg
bad_sysadmin@protonmail[.]com
Vsbb@firemail[.]cc
Vsbb@tutanota[.]com
buratino@firemail[.]cc
buratino2@tutanota[.]com
ran-unlock@protonmail[.]com
ranunlock@cock[.]li
buratin@torbox3uiot6wchz[.]onion

@原文出處:Ransomware Recap: Snatch and Zeppelin Ransomware