清静动态

克日，，，，，，，3377体育网官网入口谛听实验室监测到在野的Money Message勒索病毒，，，，，，，该组织是一种勒索软件即服务(RaaS)模式犯法团伙，，，，，，，攻击全球各行业着名企业，，，，，，，通过窃取并加密用户数据、索要巨额赎金获取重大收益。。。。。。。。

据该组织地下网络博客称，，，，，，，现在尚有靠近2百万条待果真的受害者纪录，，，，，，，现在受害者包括美国最大的药房药物公司PharMerica、微星国际（MSI）盘算机硬件提供商、商业工业和意外危险包管服务商Golden Bear等。。。。。。。。

履历证，，，，，，，3377体育网官网入口下一代防火墙、EDR、自顺应清静防御系统、僵尸网络木马和蠕虫监测与处置惩罚系统、病毒过滤网关可准确检测并查杀该勒索病毒，，，，，，，提供周全的清静保唬；；；；，，，，，，，有用阻止该事务伸张。。。。。。。。

病毒剖析

Money Message勒索病毒使用C++语言编写，，，，，，，现在最早在野样本泛起在3月19日。。。。。。。。

Money Message勒索病毒的运行界面如下图所示。。。。。。。。首先枚举并竣事指定的历程与服务，，，，，，，并搜索受害主机上的外地磁盘类型。。。。。。。。

挪用系统程序ssadmin.exe 执行delete shadows /all /quiet下令删除卷影副本，，，，，，，避免加密文件后被外地服务数据恢复备份。。。。。。。。

之后建设多个线程执行加密，，，，，，，占用CPU较高性能。。。。。。。。由于接纳的算法强度较高，，，，，，，加密文件的速率较量慢，，，，，，，若是在加密历程中发明并竣事勒索可以挽回一定损失。。。。。。。。

如下是勒索病毒运行历程中内存中会解密的设置文件，，，，，，，包括了加密历程的黑名单历程与服务名称，，，，，，，白名单文件目录，，，，，，，网络密钥等主要信息。。。。。。。。

别的勒索病毒在软件中内嵌了加密的白名单文件列表，，，，，，，包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。。。。。。。。

和通例勒索病毒差别的是，，，，，，，Money Message在加密文件后并不会更改文件后缀，，，，，，，这直接导致一些可执行文件在被加密后会泛起名堂报错，，，，，，，文本类文件可以直接翻开但数据被加密泛起乱码。。。。。。。。

在C盘释放的money_message.log实则是勒索信，，，，，，，见告受害者缴纳赎金的谈判地点，，，，，，，并忠言受害者若是在划准时间内拿不到赎金，，，，，，，将会宣布受害者的私密数据。。。。。。。。

Money Message勒索病毒接纳ECDH和ChaCha20算法加密用户数据，，，，，，，该加密方法速率虽慢，，，，，，，但加密强度较高，，，，，，，现在还无法破解。。。。。。。。

附录：

Money Message勒索加密设置文件：

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/money_message_ransom_config.json

样本IOC列表：

防护建议

实时修复系统及应用误差，，，，，，，降低被Money Message勒索病毒通过误差入侵的危害。。。。。。。。

增强会见控制，，，，，，，关闭不须要的端口，，，，，，，禁用不须要的毗连，，，，，，，降低资产危害袒露面。。。。。。。。

更改系统及应用使用的默认密码，，，，，，，设置高强度密码认证，，，，，，，并按期更新密码，，，，，，，避免弱口令攻击。。。。。。。。

按期举行数据备份，，，，，，，并将这些备份数据生涯在离线情形或单独的网络中。。。。。。。。

装置3377体育网官网入口清静产品增强防护，，，，，，，3377体育网官网入口下一代防火墙、EDR、自顺应、僵木蠕、病毒过滤网关，，，，，，，可有用防御该勒索病毒。。。。。。。。

3377体育网官网入口产品防御设置

一、3377体育网官网入口下一代防火墙系统防御设置

1、通过会见控制战略增强禁用不须要的端口、服务，，，，，，，缩小资产袒露面，，，，，，，降低熏染危害；；；；；；

2、开启弱口令防护、暴力破解防护功效，，，，，，，可有用降低口令破解危害;

3、升级到最新病毒特征库，，，，，，，设置病毒防护战略，，，，，，，可有用检测并阻断勒索病毒撒播。。。。。。。。

4、开启联动功效，，，，，，，获取3377体育网官网入口EDR、3377体育网官网入口病毒过滤网关、3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统等产品检测效果，，，，，，，实时阻挡撒播/熏染源，，，，，，，控制网络撒播规模；；；；；；

5、开启资产防护功效，，，，，，，启用资产行为基线功效，，，，，，，通过检测资产异常行为，，，，，，，可实时发明隐藏攻击行为并启用战略举行阻断。。。。。。。。

二、3377体育网官网入口EDR系统防御设置

1、通过微隔离战略增强会见控制，，，，，，，降低横向熏染危害；；；；；；

2、开启文件实时监控功效，，，，，，，可有用预防和查杀该勒索病毒;

3、开启系统加固功效，，，，，，，可有用阻挡该勒索病毒对系统要害位置举行破损和改动。。。。。。。。

三、3377体育网官网入口自顺应清静防御系统防御设置

1、通过微隔离战略增强会见控制，，，，，，，降低横向熏染危害；；；；；；

2、通过危害发明功效扫描系统是否保存相关误差和弱口令，，，，，，，降低危害、镌汰资产袒露；；；；；；

3、开启病毒实时监测功效，，，，，，，可有用预防和查杀该勒索病毒。。。。。。。。

四、3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统设置

1、升级最新威胁情报库，，，，，，，开启威胁情报恶意文件检测和捕获功效，，，，，，，实时检测和捕获网络中的勒索病毒；；；；；；

2、开启威胁情报日志纪录和报警功效；；；；；；

3、可设置旁路阻断或者3377体育网官网入口防火墙联动，，，，，，，阻挡勒索病毒网络撒播。。。。。。。。

五、3377体育网官网入口病毒过滤网关防御设置

1、升级到最新病毒特征库；；；；；；

2、开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测；；；；；；

3、设置病毒检测处置惩罚战略;

4、开启日志纪录和报警功效。。。。。。。。

3377体育网官网入口产品获取方法

3377体育网官网入口下一代防火墙、过滤网关、僵尸网络木马和蠕虫监测与处置惩罚系统等产品特征库下载地点: ftp://ftp.topsec.com.cn

3377体育网官网入口自顺应清静防御系统、3377体育网官网入口EDR企业版试用：可通过3377体育网官网入口各地分公司获取。。。。。。。。盘问网址：

http://www.topsec.com.cn/contact/

3377体育网官网入口EDR单机版下载地点：http://edr.topsec.com.cn