mimimi,请像解读行星ary威胁病毒那样手牵手,声声慢

一、布景概述

近来,国外安全研究人员曝光了一种名为Planetary的勒索病毒宗族,该勒撸丝片二区索病毒宗族最早于2018年12月被发现,运用AES-256加密算法加密文件,一般经过RDP爆炸或垃圾邮件进行传达,要点进犯目标是运用英美国老奶奶语的用户集体,但在我国和日本区域都发现了遭到进犯的用户。

该勒索软件宗族在2019年进行过几回变种,加密后缀改变如下:

日期 后缀 2019.2.7 .pluto 2019.2.10 .mecury 2019.3.4 .Neptune 2019.3.12 .yum 2019.3.21 .mira

2019年4月,EMSISOFT发布出Planetary勒索病毒的解密东西,该东西能够针对”.mira”, “.yum”, “.Neptune”, “.Pluto”后缀的变种进行解密。深服气安全团队对最新的Planetary样本进行了具体的技能剖析,并对解密东西进行测验。

解密东西下载链接:

https://decrypter.emsisoft.com/planetary 二、勒索特征

1.加密后文件后缀以“.mira”结束:

2.勒索信息文件“!!!READ_IT!!!.txt”:

三、解密东西运用

1.在被加密的主机上运转解密东西,会弹出答应条款,承认赞同答应条款后点击“yes”按钮进入解密器:

2.点击“Browse”按钮挑选一个开释勒索信息文件(”!!!READ_IT!!!.txt”),然后点击”start”按钮:

3.弹出危险提示,主张先测验对少数文件进行解密,若能够成功解密再全盘运用:

4.挑选需求解密的目录,”Addfolder”增加目录、“Remove objects”移娇踹除目录、“Clear object list”清空目录列表:

5.承认目录后,主张第一次测验时在”Options”窗口中挑选”Keep encrypted files”选项,该选项的作用是解密时不删去被加密的文件,以防万一:

6.解密完成后会在”Results”窗口输出解密日志,完成后即可查看文件是否成功解密,经测验,该东西对”.mira”后缀的Planetary勒索病毒能够成功解密:

四、具体剖析

1.将病毒体经过注册表增加到自启动:

2.设置目标特点,其间包括加密后的后缀名“.mira”,勒索信息文件名以及不进行加密的途径:

一共包括以下几项:

buildHash:"QAzNd93S1AE="

extension:".mira"

readmeFileName:"!!!READ_IT!!!.txt"

targetURL:"https://www.example.com/write.php?info="

priorityDirs:"Mercury4444"

blacklistPinstagram注册rocs:"svchost"、"^explorer\\.exe$"

blacklistDirs:

Common Files、InternetExplorer、Windows Defender、WindowsMail、Windows Media Player、WindowsMultimedia Platfo潮图rm、Windows NT、WindowsPhoto Vie放大镜简笔画wer、Windows Portable Devices、WindowsPowerShell、Microsoft.NET、Windows Photo Viewer、Windows Security、Embedded Lockdown Manager、Windows Journal、MSBuild、Reference Assemblies、Wi丰田汽车报价及图片ndows Sidebar、Windows Defender AdvancedThreat Protection、Users\\.*\\Microsoft$、Users\\.*\\Package Cache$、Users\\.*\\MicrosoftHelp$

blacklistFiles:

"NTUSER\\.DAT.*"、"page.*\\.sys"、"swap.*\\.sys"任我干、"\\.sys$"、"\\.dll$"

importantFiles:

"\\.bak$"花的成语、"\\.4dd$"、"\\.4dl$"、"\\.accdb$"、"\\.accdc$"、"\\.accda3纸尺度e$"、"\\.accdr$"、"\\.accdt$"、"\\.accft$"、"\\.adb$"、"\\.adb$"、"\\.ade$"、"\\.adf$"、"\\.adp$"、"\\.alf$"、"\\.ask$"、"\\.btr$"、"\\.cat$"、"\\.cdb$"、"\\.cdb$"、"\\.cdb$"、"\\.ckp$"、"\\.cma$"、"\\.cpd$"、"\\.crypt12$"、"\\.crypt8$"、"\\.crypt9$"、"\\.dacpac$"、"\\.dad$"、"\\.dadiagrams$"二郎神、"\\.daschema$"、"\\.d玄幻小说完本b$"、"\\.db$"、"\\.db-shm$"、"\\.db-wal$"、"\\.db3$"、"\\.dbc$"、"\\.dbf$"、"\\.dbs$"、"\\.dbt$"、"\\.dbv$"、"\\.dbx$"、"\\.dcb$"、"\\.dct$"、"\\.dcx$"、"\\.ddl$"、"\\.dlis$"、"\\.dp1$"、"\\.dqy$"、"\\.dsk$"、"\\.dsn$"、"\\.dtsx$"、"\\.dxl$"、"\\.eco$"、"\\.ecx$"、"\\.edb$"、"\\.edb$"、"\\.epim$"、"\\.f绘声绘色cd$"、"\\.fdb$"、"\\.fic$"、"\\.fm5$"、"\\.fmp$"、"\\.fmp12$"、"\\.fmpsl$"、"\\.fol$"、"\\.fp3$"、"\\.fp4$"、"\\.fp5$"、"\\.fp7$"、"\\.fpt$"、"\\.frm$"、"\\.gdb$"、"\\.gdb$"、"\\.grdb$"、"\\.gwi$"、"\\.hdb$"、"\\.his$"、"\\.ib$"、"\\.idb$"、"\\.ihx$"、"\\.itdb$"、"\\.itw$"、"\\.jet$"、"\\.jtmimimi,请像解读行星ary要挟病毒那样手牵手,声声慢x$"、"\\.kdb$"、"\\.kexi$"、"\\.kexic$"、"\\.kexis$"mimimi,请像解读行星ary要挟病毒那样手牵手,声声慢、"\\.lgc$"、"\\.lwx$"、"\\mimimi,请像解读行星ary要挟病毒那样手牵手,声声慢.maf$"、"\\.maq$"、"\\.mar$"、"\\.marshal$"、"\\.mas$"、"\\.mav$"、"\\.mdb$"、"\\.mdf$"、"\\.mpd$"、"\\.mrg$"、"\\.mud$"、"\\.mwb$"、"\\.myd$"、"\\.ndf$"、"\\.nnt$"、"\\.nrmlib$"、"\\.ns2$"、"\\.ns3$"、"\\.ns4$"、"\\.nsf$"、"\\.nv$"、"\\.nv2$"、"\\.nwdb$"、"\\.nyf$"、"\穿越之田园女皇商\.odb$"、"\\.odb$"、"\\.oqy$"、"\\.ora$"、"\\.orx$"、"\\.owc$"、"\\.p96$"、"\\.p97$"、"\\.pan$"、"\\.pdb$"、"\\.pdb$"、"\\.pdm$"、"\\.pnz$"、"\\.qry$"、"\\.qvd$"、"\\.rbf$"、"\\.rctd$"、"\\.rod$"mimimi,请像解读行星ary要挟病毒那样手牵手,声声慢、"\\.rod$"、"\\蓝蛇.rodx$"、"\\.rpd$"、"\\.rsd$"、"\\.sas7bdat$"、"\\.sbf$"、"\\.scx$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdb$"、"\\.sdc$"、"\\.sdf$"、"\\.sis$"、"\\.spq$"、"\\.sql$"、"\\.sqlite$"、"\\.sqlite3$"、"\\.sqlitedb$"、"\\.te$"、"\\.teacher$"、"\\.tmd$mimimi,请像解读行星ary要挟病毒那样手牵手,声声慢"、"\\.tps$"、"\\.trc$"、"\\.trc$"、"\\.trm$"、"\\.udb$"、"\\.udl$"、"\\.usr$"、"\\.v12$"、"\\.vis$"、"\\.vpd$"、"\\.vvv$"、"\\.wdb$"、"\\.wmdb$"、"\\.wrk$"、"\\.xdb$"、"\\.xld$"、"\\.xmlff$"、"\\.bson$"、"\\.json$"、"\\.ldf$"、"\\.arm$"、"\\.cnf$"、"\\.dbs$"、"\\.ddl$"、"\\.frm$"、"\\.ibd$"、"\\.ism$"、"\\.mrg$"、"\\.myd$"、"\\.myi$"、"\\.mysql$"、"\\.opt$"、"\\.phl$"、"\\.sal$"、"\\.sqr$"、"\\.tmd$"邓瘸子、"\\.arz$"、"\\.ibz$"、"\\.ibc$"、"\\.qbquery$"、"\\.rul$"

readmeText:

" ALL YOUR DATA WASENCRYPTEmimimi,请像解读行星ary要挟病毒那样手牵手,声声慢D\r\n\r\nIf you want to recover your data:\r\n\r\n1.Send your personalID to our emails.\r\n2.You can send us 1苏椒5号 small file for test decryption.\r\n侏罗纪国际23.After payment you will get decryption tool and opportunity to recover allyour data.\r\n\r\n\r\n To avoid file loss, do not try to rename or modifyencrypted files.\r\n \r\n Our contacts:\r\n\r\nrecoverymydata@protonmail.com\r\nrecoverydata@india.com\r\n\r\n Your personalID:\r\n\t\t\t\t \r\n";

3.在遍历的每个目录下开释勒索信息文件“!!!READ_IT!!!.txt”:

4.设置加密形式:

5.遍历除指定目录外的一切途径:

6.加密文件:

五、解决方案

针对现已呈现勒索现象的用户,主张赶快对感染主机进行断网阻隔,下载解密东西进行解密,解密东西下载链接如下:

https://decrypter.emsisoft.com/planetary

深服气提示广阔用户赶快做好病毒检测与防护办法,防备该病毒宗族的勒索进犯。

病毒防护

深服气安全团队再次提示广阔用户,勒索病毒以防为主,现在大部分勒索病毒加密后的文件都无法解密,留意日常防备办法:

1.及时给电脑打补丁,修正缝隙。

2.对重要的数据文件定时进行非本地备份。

3.不要点击来源不明的邮件附件,不从不明网站下载软件。

4.尽量封闭不必要的文件同享权限。

5.更改账户暗码,设置强暗码,避免运用一致的暗码,由于一致的暗码会导致一台被攻破,多台遭殃。

6.假如事务上无需运用RDP的,主张封闭RDP。当呈现此类事情时,引荐运用深服气防火墙,或许终端检测呼应渠道(EDR)的微阻隔功用对3389等端口进行封堵,避免分散!

7.深服气防火墙、终端检测呼应渠道(EDR)均有防爆炸功用,防火墙敞开此功用并启用11080051、11080027、11080016规矩,EDR敞开防爆炸功用可进行防护。

8.深服气防火墙客户,主张升级到AF805版别,并敞开人工智能引擎Save,以到达最好的防护作用。

9.运用深服气安全产品,接入mimimi,请像解读行星ary要挟病毒那样手牵手,声声慢安全云脑,运用云查效劳能够即时检测防护新要挟。

最终,主张企业对全网进行一次安全查看和杀毒扫描,加强防护作业。

*本文作者:深服气千里目安全实验室,转载请注明来自FreeBuf.COM

人工智能 勒索病毒 技能
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
太空救援

评论(0)