首頁最新消息產品消息

產品消息提升客戶滿意及企業競爭能力公司全體上下人員都有經過 cmmi 軟體成熟度發展教育訓練

個案分析:新勒索病毒leakthemall變種.genesis病毒分析報告
發佈日期: 2020-12-22
內容訊息:
總結與建議:
1. 近期新發現的 leakthemall 勒索軟體(又名 leakthemall )是一種資料鎖定病毒,最早是由網路安全研究員 amigo a 發現的 。
 
2. 它會將您的文件副檔名延伸更改為 .crypt、.montana 或 .beijing ,而最近新型變種的副檔名 是 .genesis 。
 
3. 該變種病毒 .genesis 執行後除加密檔案外,會 ping public dns 主機 1.1.1.1 來確保網路連線是開啟的狀態 ,並且加密作業完成後會自我刪除本身 。
 
4. 它會固定在 c:programdata 資料夾內存放固定數字檔名的 personal id 檔案。
 
5. 該病毒在加密過程中對於所拜訪的資料夾會先產生 __lock_ xxx__,之後產生 !help!.txt 。
 
6. genesis_en.exe 於 nas 上建立時間為加密時間之後,推測駭客可能因為nas硬體資源有限、檔案數量太多與資料夾多層次的原因,導致無法一次性完成加密,故想再次加密而第二次上傳程式至 nas 。
 
7. 該病毒有預設一個排除的資料夾、 ntuser.dat與副檔名為 .dll、.lib、.sys等檔案類型的名單,符合名單上所列條件的檔案都不會被加密。
 
8. 該病毒程式內有一些資料庫程式或資料檔案用的副檔名,推測該程式可能會搜尋主機內是否存在這些檔案。這些副檔名的檔案是會被genesis_en.exe 加密,並沒有排除。
 
9. 對於此勒索病毒的預防除了平時做好資料備份外,建議加強 nas 的管理。
 
檔案下載處:
https://portal.cert.tanet.edu.tw/docs/pdf/2020122109123232292336308652531.pdf