DATAWAIT勒索病毒现身 腾讯电脑管家率先解密

2018-11-29 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯御见威胁情报中心监控到,新型DATAWAIT勒索病毒在国内出现多起感染攻击。该病毒首次出现于11月中旬,腾讯安全专家经过详细分析DATAWAIT勒索病毒,已率先完成解密,可恢复被勒索病毒加密过的.DATAWAIT文件。与其他勒索病毒感染不同,被DATAWAIT勒索病毒感染,电脑还会被远程控制。

近日,腾讯御见威胁情报中心监控到,新型DATAWAIT勒索病毒在国内出现多起感染攻击。该病毒首次出现于11月中旬,部分受害者感染病毒后在安全论坛寻求帮助。腾讯安全专家经过详细分析DATAWAIT勒索病毒,已率先完成解密,可恢复被勒索病毒加密过的.DATAWAIT文件。与其他勒索病毒感染不同,被DATAWAIT勒索病毒感染,电脑还会被远程控制。

论坛求助贴,有多名网友称自己的电脑文件也被加密了


DATAWAIT勒索病毒具有以下特点:

1.静默安装Patch修改后的TeamViwer可导致中毒电脑被攻击者远程控制;

2.Host文件被病毒重定向,病毒会阻止受害者访问安全厂商的网站;

3.禁用任务管理器防止受害者通过进程查看发觉异常;

4.禁用Windows Defender开机启动,实时监控功能,令电脑失去保护;

5.为防止加密文件造成的CPU占用卡顿,伪装当前系统正处于补丁更新状态;

6.外壳部分使用代码混淆对抗安全软件静态查杀。

分析

Main_V.exe病毒主程序

Main_V.exe为一个Loader(加载器),通过在内存中装载真正的恶意模块。目的为对抗安全软件静态查杀。

外壳程序使用代码混淆对抗静态查杀,最终在内存中装载恶意代码模块

Dump(勒索病毒主体模块)

Dump为勒索病毒主体模块,对文件进行加密后,将添加扩展后缀DATAWAIT,并上传机器的MAC信息。同时还作为下载者进一步下载执行其它病毒辅助功能模块。

获取MAC

计算MD5

追加PID=HASH方式上传MAC信息

避开以上目录后对文件进行加密

加密文件添加DATAWAIT扩展后缀并留下勒索说明文档,称72小时内联系病毒作者将获得50%费用减免,具体勒索数额在弹出的勒索消息中并未公开说明。

dump模块同时还会下载以下文件执行

hxxp://jordan9908.ru/1.exe
hxxp://jordan9908.ru/2.exe
hxxp://jordan9908.ru/updatewin.exe
hxxp://jordan9908.ru/4.exe

1.EXE

该模块目的为禁用任务管理器,禁用Windows Defender开机启动,关闭Windows Defender的实时监控功能。

任务管理器禁用

Windows Defender开机启动禁用

Windows Defender实时监控禁用

恢复默认签名特征库

2.EXE

该模块目的为通过修改Host文件禁止被攻击者访问安全类站点(包含全球范围内大量安全公司的网站和微软公司网站)。


修改hosts文件对指定网站进行重定向

补丁类网站、安全类网站均被重定向到127.0.0.1(使这些网站无法正常访问)

Updatewin.exe(伪装Windows自动更新)

由于加密文件过程可能会造成机器卡顿,病毒会使用此模块伪装当前系统正在进行重要更新,防止受害者发现异常。

桌面右下角伪装的系统更新弹窗

4.EXE

该模块其实为一个TeamViewer压缩包,被Patch后的Team安装包运行后将执行TeamViewer.exe主程序,且运行后将无任何界面显示,并将当前所需远程的ID,密码上传到病毒作者手中。当病毒作者通过接受到的ID,密码远程登录用户电脑后,即可对用户机器进行任意的远程控制。


而由于TeamViewer.exe主程序本身为正常应用,数字签名有效,由被修改Patch后的dll文件加载,在部分高风险场景下会被安全软件放行。


修改版本的TeamViewer安装包,主程序附带有效签名

移除恶意代码后的Team正常运行有界面显示

包含恶意代码的Team运行后无任何界面显示。

由于病毒禁用了任务管理器,病毒完整运行情况下无法通过任务管理器发现异常

最后将Team远程操作ID、密码上传到病毒作者服务器,之后电脑就被攻击者远程控制,可完成任意操作。

可联系尝试解密

经腾讯御见威胁情报中心分析,该勒索病毒加密的文件可以成功解密(只针对本文提及的病毒版本,经验证,其它厂商提供的工具尚不能解密),已经中招的网友可尝试联系腾讯安全应急团队索取解密工具(QQ3114282784)。

IOCs

MD5:

4137c7f918b9859d6219213e7843041e

3aebd4ff369d3a09905a73b94d83cd69

6f1afdaef8479275a54a64ae20a3e505

71f57d369f6b570521cecafe57685ac1


URL:

hxxp://jordan9908.ru/1.exe
hxxp://jordan9908.ru/2.exe
hxxp://jordan9908.ru/updatewin.exe
hxxp://jordan9908.ru/4.exe

hxxp://paulmcnagets.ru

hxxp://intersys32.com

安全建议

企业用户:

1、尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登录。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、 使用腾讯电脑管家保护个人电脑

2、 打开腾讯电脑管家的文档守护者功能,文档守护者可以利用硬盘冗余空间备份数据文件,以待需要时恢复,可最大限度防止用户数据损失。

电脑管家 V16

全新上线 更轻更快