DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

追踪Satan勒索病毒家族

09-17 WEB安全

一、家族简介
撒旦(Satan)病毒是一款恶意勒索程序,首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。
Satan勒索病毒主要用于针对服务器的数据库文件进行加密,非常具有针对性,当文件的后缀名为:
mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp
时,则加密相应的文件,如果后缀是如下列表:
cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk
则不加密文件。
二、家族发展演变史
第一代撒旦(Satan)勒索病毒
2017年1月份,国外某安全研究人员,在Twitter发布了一款新型的利用RaaS进行传播的勒索病毒,如下:

追踪Satan勒索病毒家族


此勒索病毒允许任何人通过注册一个帐户,就可以在其网站上创建他们自己的定制版的撒旦(Satan)勒索病毒,相关的暗网网站域名如下:
satan6dll23napb5.onion (目前该网站已关闭)
第二代撒旦(Satan)勒索病毒
2016年Shadow Brokers入侵NSA下属Equation Group,并最终于2017年4月14晚,Shadow Brokers在互联网上发布了之前获得的NSA方程式黑客组织的部分文件,包含针对windows操作系统以及其他服务器系统软件的多个高危漏洞工具(永恒之蓝)等。
2017年5月12日,WannaCry爆发,随后又有多起利用永恒之蓝的勒索病毒出现,如:
NotPetya等,它们都使用了永恒之蓝漏洞用于在内网中迅速传播,扩大感染面,而且勒索支付率较高,此时撒旦(Satan)勒索病毒制作团伙,也看准了这个机会,于是暗中开发出它们的更新版本,于2017年11月左右更新出了利用永恒之蓝传播的撒旦(Satan)勒索病毒最新变种。
2017年12月份,国外安全研究人员在Twitter更新了撒旦(Satan)勒索病毒的最新进展,发现其利用了永恒之蓝进行传播,如下:

追踪Satan勒索病毒家族


2018年4月份,国内安全厂商都监控到了大量的撒旦(Satan)病毒传播,于是发布了相关的公布和预警,深信服EDR安全团队也第一时间跟进了此事,并对Satan的变种进行了相关的报道,如下:

追踪Satan勒索病毒家族


撒旦(Satan)勒索病毒最新的变种,相对于第一版的RaaS的撒旦(Satan)勒索病毒,不仅仅使用了永恒之蓝漏洞进行传播,而且其更具有针对性,只加密服务器中相应的数据库文件,不加密其它类型的文件,同时勒索病毒会使用三种语言显示勒索信息,如下:

追踪Satan勒索病毒家族


第三代撒旦(Satan)勒索病毒
2018年5月底出现了撒旦(Satan)勒索病毒的最新的变种,它不仅仅利用了永恒之蓝漏洞,还利用了多个WEB相关的漏洞进行传播,国外某安全厂商也对相关的样本进行了跟踪分析,同时深信服EDR也跟踪了此事,并在公司内部发布了相应的预警报告,如下:

追踪Satan勒索病毒家族


同时我们从撒旦勒索病毒的一个远程恶意服务器上发现了相应的样本以及各种内网传播工具包,如下所示:

追踪Satan勒索病毒家族


追踪Satan勒索病毒家族


从上可以发现,黑客服务器上各种内网传播的相关漏洞利用工具、脚本等,第三代撒旦勒索病毒,加密使用的后缀未发生改变,同样使用.satan,传播方式,不仅仅利用永恒之蓝进行传播,同时也利用了多个WEB利用漏洞进行传播,相关的WEB漏洞列表如下:
JBoss反序列化漏洞(CVE-2017-12149)
JBoss默认配置漏洞(CVE-2010-0738)
Put任意上传文件漏洞
Tomcat web管理后台弱口令爆破
Weblogic WLS 组件漏洞(CVE-2017-10271)
第四代撒旦(Satan)勒索病毒
最近MalwareHunterTeam发现了一款新型的Satan勒索病毒DBGer勒索病毒,其属于撒旦(Satan)勒索病毒的最新的变种样本,不仅仅利用了之前的一些安全漏洞,同时还加上了Mimikatz的功能,如下:

追踪Satan勒索病毒家族


其加密后的文件后缀名变为了.dbger
撒旦(Satan)勒索病毒经过一年多的变化,其传播方式不断在发生改变,黑客的主要目的就是为了扩大感染面积,提高赎金的支付率,下表为该勒索病毒四次版本的比较:

追踪Satan勒索病毒家族


三、发展趋势与预防措施
2017年勒索病毒爆发的一年,由于永恒之蓝漏洞的公开,导致勒索病毒可以在内网中迅速传播,大量用户中招,有人说2018年勒索病毒不流行了,事实上,从我们监控的数据可以发现勒索病毒在2018年仍然非常流行,基本上每天都会有新的变种或新的家族出现,仍然是恶意软件中最严重的威胁,深信服EDR安全团队,通过深入分析研究了十几款勒索病毒家族,从中得出了2018年上半年最流行的最新勒索病毒“四大家族”,分别是:

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//web/108.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 722652访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X