在2019年10月,一种名为“MedusaLocker”的勒索病毒在国外安全圈被炒得沸沸扬扬,原因是该病毒的源代码不知怎么就泄露了出来,甚至还包括一个在当时正处于开发中的Debug版本。
技术分析
MedusaLocker具有勒索病毒的典型特征。在执行时,它会将自身复制到“%APPDATA%\Roaming\”目录。
为了实现长久驻留,它会在Windows中创建计划任务以执行PE32(PE32在执行之前存储在“%APPDATA%\Roaming”中)。
计划任务被配置为在初始感染后每15分钟执行一次,以便能够对后续新创建的文件进行加密。
MedusaLocker被配置为遍历所有可能存在的磁盘分区,目的是加密尽可能多的文件,以换取更高的赎金。
文件在被加密后,将被额外添加一个新的扩展名——“.encrypted”。
一个被命名为“HOW_TO_RECOVER_DATA”的赎金票据将出现在每一个目录中,以提示受害者支付赎金。
需要注意的是,赎金票据并非固定不变,你可能还会看到这样的版本:
为了阻止受害者恢复文件,MedusaLocker还被配置为能够使用Windows操作系统中内置的“vssadmin”实用程序来删除卷影副本。
尤为需要注意的是,MedusaLocker还可以执行ICMP扫描以识别同一网络下的其他主机,以加密任何可以找到的文件,进一步提高赎金金额。
安全建议
电子邮件是包括MedusaLocker在内的大多数恶意软件的主要传播媒介之一,因此养成良好的电子邮件使用习惯尤为重要。与之相对应的,是定期对员工进行网络钓鱼相关知识培训。
此外,定期对系统和软件进行更新同样不容忽视,因为任何漏洞都可能成为网络入侵的突破口,而一款可靠的端点安全软件在这方面可以给予我们很大的帮助。
分享到:
