近日,360安全大腦監測到一款Panther勒索病毒極為活躍,經深度分析後發現,此為黑客團伙「老豹」的又一次「放毒」行動。
據了解,該組織於今年五月底開始「興風作浪」,通過以供應鏈攻擊的方式,下發潛伏在中文程式語言編譯環境的感染型病毒Peviru,導致用戶編譯的所有程序都難逃感染厄運,360安全大腦在發現後立即完成了對該病毒的攔截查殺。
如今,重振旗鼓的「老豹」二次「出洞」,利用之前部署的病毒模塊下發新型勒索病毒Panther,再度掀起了一波網絡空間的惡浪。
不過廣大用戶無需擔心,目前360安全大腦已國內首家實現對Panther勒索病毒的解密支持。中招用戶可儘快下載安裝360解密大師,及時驅散Panther勒索陰雲,保護個人數據及財產安全。
銷聲匿跡後二次「出洞」
「老豹」黑客團伙再現勒索江湖
五月底,360安全大腦在監測到自帶感染性的Peviru病毒後發現,該病毒瞄準編譯程序的源頭,通過潛藏在中文程式語言安裝程序和其他相關模塊流竄全網,使眾多中招設備淪為被遠控木馬支配的「傀儡」。
巧合的是,此次360安全大腦在攔截到新型勒索病毒Panther後,發現該組織在下發病毒的過程中,同樣利用了之前部署的病毒模塊,熟悉的「oldpanther」(老豹)字樣如同標識般再次出現在完整的進程鏈之中。但不同的是,此次黑客團伙「老豹」卻以「加密文件,勒索錢財」為目的,繼續肆虐網絡。
該勒索病毒加載器為fixsys.exe,病毒作者使用VMProtect虛擬化殼保護勒索病毒的核心代碼,並通過Process Hollowing的注入方式將Panther勒索病毒本體注入到svchost.exe進程執行。執行後,該勒索病毒會遍歷磁碟分區並加密用戶文件。
加密過程中,該勒索病毒採用文件後綴和文件目錄白名單機制,在如下白名單之外的所有文件均會被加密。
另外,Panther勒索病毒採用RSA+AES(Rijndael)的加密方式,通過開源的CryptoPP加解密庫實現:
1.加密文件之後會留下文件名為「LOCKED_README.txt」的勒索提示信,並提供暗網跟明網兩種解密服務;
2.在其解密的網站提示用戶支付一個門羅幣(約400人民幣)的贖金,但是該門羅幣錢包地址暫時顯示還未收到任何贖金。
「豹走」勒索態勢或將延續
360安全大腦國內首家支持解密
在Panther勒索病毒被發現不久後,不少用戶陸續反饋不慎中招。依據360安全大腦對之前該黑客團伙下發的Peviru感染型病毒的增長趨勢進行推測,此次Panther勒索病毒在後續一段時間內仍會呈現持續攀升態勢。因此,廣大用戶的對於網絡安全的防護意識且不可掉以輕心。
目前,在360安全大腦的極智賦能下,360解密大師已國內首家支持解密Panther勒索病毒,幫助眾多用戶完成了加密文件的解鎖。
值得一提的是,截止2019年11月,360解密大師作為全球規模最大、最有效的勒索病毒解密工具,累計支持解密勒索病毒超過320種,服務用戶機器超26000台,解密文件近8500萬次,挽回損失超5.47億元。
建議中招用戶可儘快選擇360解密大師,一鍵解鎖加密文件。同時,為全面保障個人隱私及財產安全,凈化網絡環境,360安全大腦特別給出以下幾點安全建議:
1、及時前往weishi.360.cn,下載安裝360安全衛士,及時攔截和查殺各種類型的流行病毒;
2、對於安全軟體提示風險的程序,切勿輕易添加信任或退出殺軟運行;
3、使用360軟體管家下載軟體,360軟體管家收錄萬款正版軟體,經過360安全大腦白名單檢測,下載、安裝、升級,更安全;
4、如若中招,用戶可立即前往lesuobingdu.360.cn確認所中勒索病毒類型,並通過360安全衛士「功能大全」窗口,搜索安裝「360解密大師」後,點擊「立即掃描」恢復被加密文件。
門羅幣錢包地址:
493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKaXdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu
Panther勒索服務:
http[:]//tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion
http[:]//123.57.50.25:5000/