安全動態

近日，天融信諦聽實驗室監測到在野的Money Message勒索病毒，該組織是一種勒索軟件即服務(RaaS)模式犯罪團伙，攻擊全球各行業知名企業，通過竊取并加密用戶數據、索要巨額贖金獲取巨大收益。

據該組織地下網絡博客稱，目前還有接近2百萬條待公開的受害者記錄，目前受害者包括美國最大的藥房藥物公司PharMerica、微星國際（MSI）計算機硬件提供商、商業財產和意外傷害保險服務商Golden Bear等。

經驗證，天融信下一代防火墻、EDR、自適應安全防御系統、僵尸網絡木馬和蠕蟲監測與處置系統、病毒過濾網關可精確檢測并查殺該勒索病毒，提供全面的安全保護，有效阻止該事件蔓延。

病毒分析

Money Message勒索病毒使用C++語言編寫，目前最早在野樣本出現在3月19日。

Money Message勒索病毒的運行界面如下圖所示。首先枚舉并結束指定的進程與服務，并搜索受害主機上的本地磁盤類型。

調用系統程序ssadmin.exe 執行delete shadows /all /quiet命令刪除卷影副本，防止加密文件后被本地服務數據恢復備份。

之后創建多個線程執行加密，占用CPU較高性能。由于采用的算法強度較高，加密文件的速度比較慢，如果在加密過程中發現并結束勒索可以挽回一定損失。

如下是勒索病毒運行過程中內存中會解密的配置文件，包含了加密過程的黑名單進程與服務名稱，白名單文件目錄，網絡密鑰等重要信息。

此外勒索病毒在軟件中內嵌了加密的白名單文件列表，包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。

和常規勒索病毒不同的是，Money Message在加密文件后并不會更改文件后綴，這直接導致一些可執行文件在被加密后會出現格式報錯，文本類文件可以直接打開但數據被加密出現亂碼。

在C盤釋放的money_message.log實則是勒索信，告知受害者繳納贖金的談判地址，并警告受害者如果在規定時間內拿不到贖金，將會公布受害者的私密數據。

Money Message勒索病毒采用ECDH和ChaCha20算法加密用戶數據，該加密方式速度雖慢，但加密強度較高，目前還無法破解。

附錄：

Money Message勒索加密配置文件：

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/money_message_ransom_config.json

樣本IOC列表：

防護建議

及時修復系統及應用漏洞，降低被Money Message勒索病毒通過漏洞入侵的風險。

加強訪問控制，關閉不必要的端口，禁用不必要的連接，降低資產風險暴露面。

更改系統及應用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊。

定期進行數據備份，并將這些備份數據保存在離線環境或單獨的網絡中。

安裝天融信安全產品加強防護，天融信下一代防火墻、EDR、自適應、僵木蠕、病毒過濾網關，可有效防御該勒索病毒。

天融信產品防御配置

一、天融信下一代防火墻系統防御配置

1、通過訪問控制策略加強禁用不必要的端口、服務，縮小資產暴露面，降低傳染風險；

2、開啟弱口令防護、暴力破解防護功能，可有效降低口令破解風險;

3、升級到最新病毒特征庫，配置病毒防護策略，可有效檢測并阻斷勒索病毒傳播。

4、開啟聯動功能，獲取天融信EDR、天融信病毒過濾網關、天融信僵尸網絡木馬和蠕蟲監測與處置系統等產品檢測結果，及時攔截傳播/感染源，控制網絡傳播范圍；

5、開啟資產防護功能，啟用資產行為基線功能，通過檢測資產異常行為，可及時發現隱藏攻擊行為并啟用策略進行阻斷。

二、天融信EDR系統防御配置

1、通過微隔離策略加強訪問控制，降低橫向感染風險；

2、開啟文件實時監控功能，可有效預防和查殺該勒索病毒;

3、開啟系統加固功能，可有效攔截該勒索病毒對系統關鍵位置進行破壞和篡改。

三、天融信自適應安全防御系統防御配置

1、通過微隔離策略加強訪問控制，降低橫向感染風險；

2、通過風險發現功能掃描系統是否存在相關漏洞和弱口令，降低風險、減少資產暴露；

3、開啟病毒實時監測功能，可有效預防和查殺該勒索病毒。

四、天融信僵尸網絡木馬和蠕蟲監測與處置系統配置

1、升級最新威脅情報庫，開啟威脅情報惡意文件檢測和捕獲功能，實時檢測和捕獲網絡中的勒索病毒；

2、開啟威脅情報日志記錄和報警功能；

3、可配置旁路阻斷或者天融信防火墻聯動，攔截勒索病毒網絡傳播。

五、天融信病毒過濾網關防御配置

1、升級到最新病毒特征庫；

2、開啟HTTP、POP3、SMTP、FTP、IMAP等協議的病毒掃描檢測；

3、配置病毒檢測處置策略;

4、開啟日志記錄和報警功能。

天融信產品獲取方式

天融信下一代防火墻、過濾網關、僵尸網絡木馬和蠕蟲監測與處置系統等產品特征庫下載地址: ftp://ftp.topsec.com.cn

天融信自適應安全防御系統、天融信EDR企業版試用：可通過天融信各地分公司獲取。查詢網址：

http://www.pandorauk.cn/contact/

天融信EDR單機版下載地址：http://edr.topsec.com.cn