Lucky多平台勒索病毒出现 GA黄金甲提供解决规划

颁布功夫 2018-11-30

近日，一款名为Lucky的跨平台勒索病毒出现。该病毒传布能力极强，可使用多种缝隙组合进行传布，同时支持习染Linux和Windows操作系统，加密文件选取高强度加密RSA+AES算法，并且还会亏损主机资源进行挖矿。

Lucky勒索病毒整体流程如下：

技术分析：

Lucky病毒分为多个模块，蕴含下载模块，传布模块、勒索模块和挖矿模块等。

1、下载模块

重要是下载Windows平台下的conn.exe和srv.exe到C：\Program Files\Common File\System目录下而后挪用ShellExecute去执行。

2、传布模块

传布模块重要的职能是掌管windows平台上的横向移动，会使用如下缝隙或弱口令进行传布。

● Apache Struts2远程代码执行缝隙

● CVE-2018-1273缝隙

Windows系统利用CVE-2018-1273缝隙上传fast.exe病毒Downloader至C盘根目录。

Linux系统利用CVE-2018-1273缝隙上传ft32和ft64病毒Downloader至服务器。

● Tomcat治理后盾弱口令爆破

● 系统账户和密码爆破

● JBoss反序列化缝隙利用

● JBoss默认配置缝隙

● Weblogic WLS 组件缝隙

● Struts2远程执行S2-057缝隙

● Struts2远程执行S2-045缝隙

● Windows SMB远程代码执行缝隙MS17-010（永恒之蓝）

3、勒索模块

Windows平台下会遍历下面这些后缀的文件并使用RSA+AES算法对文件进行加密，加密后的文件扩大名为“.Lucky”。

同时排除以下蹊径：

Linux系统下则会加密如下后缀名的文件：
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并排除如下蹊径：
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
无论是哪种操作系统，在加密实现后城市将session ID、被加密文件个数、文件大幼，系统等信息上报到C&C服务器。

4、挖矿模块

挖矿模块使用开源代码编写，其矿池地址如下：

解决规划

1、产品防护

● 已部署GA黄金甲IDS，IPS，WAF产品的客户请确认如下事务规定已经下发并利用，即可有效检测/阻断Lucky病毒的传布。

● 已部署GA黄金甲APT产品的客户无需升级，即可在Lucky病毒下载过程中还原样本并有效检测。

传布模块：

挖矿模块：

GA黄金甲·(中国区)官方网站

勒索模块：

2、另表，对于未中病毒的机械应采取以下措施预防受到习染：

● 给系统和利用法式打全补丁，断绝木马传布蹊径。
● 关关局域网共享，以及极度用端口，预防遭逢习染。

对于已中毒的机械应该采取以下措施阻止病毒持续传布：

● 隔离习染主机，关关所有网络衔接，预防横向传布。
● 使用杀毒软件全盘查杀木马。
● 建补对应的系统或利用缝隙。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

Lucky多平台勒索病毒出现 GA黄金甲提供解决规划

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线