全新针对Linux平台的勒索软件——Sfile

2022-01-06   

威胁等级：★★★
近日瑞星捕获到该勒索病毒的Linux平台变种，此变种提供一些基于命令行的参数策略支持，加密文件采用RSA+AES算法模式，在没有RSA私钥的情况下暂时无法对被加密文件进行解密。

概述

SFile又称Escal，最早出现于2020年，主要针对Windows平台。该勒索病毒的部分变种还习惯使被加密文件的后缀名附带上目标企业的英文名称，如本次捕获到的变种使用nuctech-gj0okyci（nuctech为同方威视技术股份有限公司的英文名称）作为后缀名。近日瑞星捕获到该勒索病毒的Linux平台变种，此变种提供一些基于命令行的参数策略支持，加密文件采用RSA+AES算法模式，在没有RSA私钥的情况下暂时无法对被加密文件进行解密。

样本信息

详细分析

以当前时间作为随机数种子作为加密算法秘钥

为了提高加密效率限制了文件的存储大小，最小文件加密大小500K，最大文件加密30M。

提供命令行参数用于灵活调整攻击策略。

--threads-count：线程数量

-e-size：最小加密文件大小

--g-size：最大加密文件大小

--exl：排除指定扩展名

--exts：包含指定扩展名

--disable-crc32

--disable-ransomfile：不释放勒索信

--disable-filerenaming：不进行文件重命名

导入文件内硬编码的RSA公钥加密随机数

遍历文件路径，从文件头读取文件进行加密

文件采用AES算法加密

文件加密后缀格式，排除格式.nuctech-gj0okyci

为加密的文件添加后缀.nuctech-gj0okyci

创建勒索信文件readme_to_nuctech.txt，要求用户通过给定邮箱与攻击者进行联系

处置及防范建议

目前，瑞星ESM防病毒终端安全防护系统等产品可拦截并查杀相关勒索病毒，广大用户可安装瑞星的安全产品来规避相应风险。

1. 针对RDP弱口令攻击的防范建议：

• 限制可使用RDP的用户，仅将远程访问授权给那些必须用它来执行工作的人。
• 建立双重验证，如Windows平台下的Duo Security MFA或Linux平台google-authenticator等认证程序。
• 设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置可以有效抵御一定时间下高频的暴力破解。
• 审视RDP的使用需求，如果业务不需要使用它，那么可以将所有RDP端口关闭，也可以仅在特定时间之间打开端口。
• 重新分配RDP端口，可考虑将默认RDP端口更改为非标准的端口号，可避免一部分恶意软件对特定RDP端口的直接攻击，仍需另外部署端口扫描攻击防范措施。
• 定期检查、修补已知的RDP相关漏洞。
• 创建防火墙规则限制远程桌面的访问，以仅允许特定的IP地址。
• RDP的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

2. 针对系统安全性的防范建议：

• 及时更新软件及系统补丁。
• 定期备份重要数据。
• 开启并保持杀毒软件及勒索防护软件功能的正常。
• 定期修改管理员密码并使用复杂度较高的密码。
• 开启显示文件扩展名，防范病毒程序伪装应用程序图标。

3. 针对局域网安全性的防范建议：

• 非必要时可关闭局域网共享文件或磁盘，防止病毒横向传播。
• 对局域网共享文件夹设置指定用户的访问权限，防止不必要的权限遭到病毒滥用。
• 通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号，防止病毒通过扫描端口等方式查询区域资产信息。