BLACKHEART勒索病毒预警

2018-08-01 10:39:33

近日,亚信安全截获最新BLACKHEART勒索病毒,该勒索病毒将合法的远控软件AnyDesk与恶意程序捆绑在一起,在用户访问恶意网站时不经意下载感染本机,从而导致系统中的文件被加密。 亚信安全将该勒索病毒命名为RANSOM_BLACKHEART.THDBCAH

 

BLACKHEART勒索病毒技术细节分析

 

BLACKHEART勒索病毒下载执行后,其会生成如下两个文件:

 

%User Temp%\ANYDESK.exe

%User Temp%\BLACKROUTER.exe

 

图片关键词

BLACKHEART勒索病毒生成的文件】

 

 

其中第一个文件ANYDESK.exe就是合法的远控软件,其可以在不同桌面操作系统(包括WindowsMacOSLinuxFreeBSD)之间进行双向远程控制,也可以在AndroidiOS上单向访问。另外,其还具有文件传输,客户端聊天,会话记录等功能,

 

值得注意的是,该勒索病毒使用的是旧版本的AnyDesk远控软件,而不是当前的最新版本。

 

图片关键词

【本案例中AnyDesk用户界面】

 

其将通过以下命令删除卷影副本:

 

”cmd.exe” /c vssadmin.exe delete shadows /all /quiet

 

第二个文件是真正的勒索软件。经过分析,我们发现它是一个相当常见的勒索软件,该勒索软件对使用不同扩展名的文件进行加密,具体加密的文件扩展名列表如下:

 

图片关键词

 

其会在以下文件夹中搜索并加密上述扩展名文件:

%Desktop%

%Application Data%

%AppDataLocal%

%Program Data%

%User Profile%

%System Root%\Users\All Users

%System Root%\Users\Default

%System Root%\Users\Public

All Drives except for %System Root%

 

被加密后的文件扩展名为.BlackRouter,完成加密流程后,BLACKHEART勒索病毒将在如下位置生成勒索提示信息:

 

{All Drives}:\ReadME-BlackRouter.txt

%Desktop%\ReadME-BlackRouter.txt

 

勒索金额为50美元或0.006164比特币:

 

图片关键词

【勒索提示信息】

 

之前我们就发现,有勒索病毒借助TeamViewer进行传播,与合法软件捆绑在一起,逃避杀毒软件检测的策略正在被黑客使用,合法软件的运行掩盖了真正的恶意行为,用户很难发现已经感染病毒。

 

解决方案

 

不要随意访问未知网址,在访问之前可以先检查网站信誉

 

 注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

 

亚信安全解决方案:

ü  亚信安全病毒码版本14.233.60,云病毒码版本14.233.71,全球码版本14.231.00已经可以检测,请用户及时升级病毒码版本。

ü  使用防毒墙网络版(OfficeScan)开启针对勒索软件(Ransomware)的行为阻止策略,如下图:

 

图片关键词