一、概述

腾讯御见威胁情报中心监测发现，从2018年10月份开始恶意JS电子邮件附件数量持续增长。经分析发现，攻击者通过发送钓鱼邮件，诱导受害者打开并运行附件中的恶意JS脚本，进而下载Shade（幽灵）勒索病毒。该勒索病毒会下载CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站点，之后再通过这些被入侵的站点继续传播Shade（幽灵）勒索病毒。截止目前，已有超过2000个CMS站点遭到入侵。

注：cms站点是被业内广泛使用的内容管理系统，企业或个人可通过CMS系统创建自己的博客、知识库、社区、论坛等内容网站。

Shade（幽灵）勒索病毒首次出现于2014年末，针对Windows操作系统，它主要通过Axpergle和Nuclear漏洞攻击包、钓鱼邮件等进行分发。历史版本加密文件后缀有“.da_vinci_code”、“.magic_software_syndicate”、“.no_more_ransom”、“.dexter”。而本次发现的病毒版本为v4.0.0.1，加密文件后会添加“. crypted000007”后缀。

该版本的Shade（幽灵）勒索病毒具有如下特点：

1、 加密jpg，jpeg，png，xls，xlsx，doc，docx，ppt，txt，mp3，mp4，mov等上百种常用类型的数据文件，不影响系统的正常运行；

2、 检查文件是否已经被加密，避免重复加密；

3、 删除卷影信息，删除备份相关文件；

4、 设置受害者的电脑桌面背景，英俄双语提示受害者文件已经被勒索；

5、 在受害者的电脑桌面上，创建了10个内容相同的文件README1.txt，... README10.txt，文件中分别用英俄双语引导受害者通过邮件或者Tor网络与攻击者联系解密；

6、 所有C2服务器都位于Tor网络上；

7、 该版本的Shade（幽灵）勒索病毒样本，绝大多数被存放在被攻陷的wordpress站点上，并伪装成jpg和pdf文件；

8、 下载CMSBrute（CMS暴力破解者）模块入侵安全系数相对较低的wordpress等CMS站点，攻陷的站点将作为Shade（幽灵）勒索病毒的样本分发服务器。

Shade（幽灵）勒索病毒的攻击流程大致如下图所示：

二、分析

2.1 邮件

攻击者伪装成银行项目经理，向受害者发送带有附件的钓鱼邮件。

2.2 附件中的恶意JS

解压附件中的zip文件，得到的实际上是一个恶意JS脚本，该脚本被攻击者进行了代码混淆。部分代码如下所示：

解密后的部分关键JS代码如下，可以看到该JS脚本会从联网下载名为ssj.jpg的文件，并通过调用wscript来执行。

通过腾讯安图高级威胁追溯系统查询，可以发现下载的ssj.jpg都被存放在被攻陷的wordpress站点上。

通过进一步的分析和整理，发现该ssj.jpg文件其实是Shade（幽灵）勒索病毒，在攻陷的wordpress站点上伪装的文件名主要为ssj.jpg、sserv.jpg、zinf.jpg、mxr.pdf。

2.3 Shade（幽灵）勒索病毒

运行后将自身复制到C:\ProgramData\Windows\csrss.exe，伪装成系统文件，并设置自启动。

保存配置信息到注册表HKEY_LOCAL_MACHINE\SOFTWARE\System32\ Configuration，其中xpk为加密公钥，xi为受害者机器ID，xVersion为Shade病毒的当前版本号。

扫描系统文件，并将以jpg，jpeg，png，xls，xlsx，doc，docx，ppt，tx，mp3，mp4，movt等常见类型的上百种文件进行加密，加密后文件名被更改为base64(原文件名).机器id.crypted000007，被加密后的文件如下图所示：

所有文件都加密完成后，设置桌面，英俄双语提醒受害者电脑中的文件已经被勒索

同时还在电脑桌面上创建了10个内容完全相同的文件README1.txt，... README10.txt，文件内容同样也是俄英双语，攻击者提供了邮箱和Tor网络两种方式让受害者与其联系获取解密方法。

使用Tor网络访问攻击者留下的网址，页面同样用英俄双语引导用户提供README.txt中的相关信息给攻击者。

填写信息后不到一盏茶的功夫，攻击者就给发来了邮件，要价0.085比特币（折合人民币约2000元），同时免费帮受害者解密一个文件以证明攻击者确实有能力解密文件。

2.4 CMSBrute模块

前文提到过，本次爆发的Shade（幽灵）勒索病毒的样本大多存放在被攻陷的wordpress站点上。经过我们的进一步分析，发现Shade（幽灵）勒索病毒为了扩大自己的感染量，除了加密文件进行勒索外，还会下载CMSBrute（CMS暴力破解工具）对全网扫描并入侵wordpress等站点。

CMSBrute模块可以对Wordpress、Drupal、Joomla、Dle等CMS站点进行插件扫描、注入、爆破等行为，其部分核心函数如下图所示：

CMSBrute启动后，首先将自身复制到C:\ProgramData\drivers\csrss.exe，并设置开机自启动

全网扫描时，排除ipv4和ipv6的局域网地址

构建http请求的表单

将内置的sql语句填充到表单中，尝试对wordpress等站点进行注入攻击

三、安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登录。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，不要随意点击运行或打开附件中未知的文件。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户：

1、启用腾讯电脑管家，勿随意打开陌生邮件，或运行邮件附件中的未知文件，同时关闭Office执行宏代码

2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

四、IOC

IP

171.25.193.9

194.109.206.212

193.23.244.244

128.31.0.39

76.73.17.194

208.83.223.34

86.59.21.38

DOMAIN

x5oemza3jjjeb7j3.onion

cryptsen7fo43rr6.onion.to

cryptsen7fo43rr6.onion.cab

URL

hxxp://thuytienacademy.com/wp-content/themes/generatepress/fonts/sserv.jpg

hxxp://nguyenthanhriori.com/wp-content/themes/advance-ecommerce-store/woocommerce/checkout/sserv.jpg

hxxp://biennhoquan.com/wp-content/themes/biennho/sass/elements/sserv.jpg

hxxp://contealth.com/wp-content/themes/busiprof-pro/functions/commentbox/sserv.jpg

hxxp://wvaljssp.org/wp-content/themes/smartshooterpro/css/button-image/sserv.jpg

hxxp://kemenagluwutimur.net/wp-content/themes/zerif-lite/vendor/codeinwp/themeisle-sdk/sserv.jpg

hxxps://dom-sochi.info/static/smiles/sserv.jpg

hxxp://barhat.info/wp-content/themes/my-lovely-theme/cfg/admin/resources/sserv.jpg

hxxp://aiacadamy.com/wp-content/themes/vantage/less/css/sserv.jpg

hxxp://shly.fsygroup.com/wp-content/themes/whiteangel/images/zz/sserv.jpg

hxxp://shly.fsygroup.com/wp-admin/css/ssj.jpg  

hxxp://shly.fsygroup.com/wp-admin/css/mxr.pdf  

hxxp://shly.fsygroup.com/wp-content/languages/themes/zinf.jpg

MD5

a9330c481e066ec768c8cd2fe47a76c3

b10074c46d03115a0cb6591ab5c4854c

ead4c51e83aeeb85a3a46d8f6062efae

e20774ae57f234c52f6ca73e54cd7ca4

e8f72b585c8a44ca148aee6f00eff876

ca84fed65adf022bd0d2477ebcc2329f

825054b3be961771e0be75e4b5498288

05c18c388bebea2b3f2463b2a5932b71

751af1bd3e398cb7f3c95bdc162f5817

1f8253d25439ff26273733a7c4959547

d478fd0974ab0ce6ea0fed098a15130f

1f8253d25439ff26273733a7c4959547

8fbe9a961300fb62df587ed708160655

21fdba423358f6370a4da43f190026a8

E-MAIl

pilotpilot088@gmail.com

vladimirscherbinin1991@gmail.com