网络与信息安全情况通报

　　

　　第69期

　　

　　北京网络与信息安全信息通报中心      2018年7月4日

　　

　　关于新型勒索病毒 BadCkat的预警通报

　　

　　近日,启明星辰公司捕获一种新型勒索病毒样本,经分析,该病毒主要通过电子邮件传播,内容多为伪装成美国法院发送的传票文件,经逆向分析,发现该病毒是由“EDA2”开源勒索代码改造而成的新型病毒。针对此情况,请各通报成员单位高度重视,加强网络安全防护工作,现将具体情况通报如下:

　　一、“ BadCkat”勒索病毒基本情况

　　该病毒引发攻击是通过冒充美国法院行政办公室发送出的一封需要受害人出席的民事诉讼案件的钓鱼邮件发起,邮件以附件的形式提供了法庭位置和案件详细信息，邮件附件的内容是一个加密的word文档,该文档中包含黑客构造的 office宏病毒,一旦该Word文件被打开, office宏被加载后,就会自动从网络下载攻击模块,并加密主机上的文件实施勒索攻击。

　　word文档的宏被启用后,其中的恶意宏代码会下载一个后缀名为.png的文件,该PNG文件实则为一个下载者模块,将再下载一个sfx自解压模块。sfx自解压模块将启动一个loader程序,由loader程序加载并执行真正的勒索模块。由于勒索模块使用了 Chilkat商业库(由一家芝加哥公司开发的跨语言、跨平台的商业组件)开发,因此该勒索病毒被命名为“ BadCkat”。

　　二、“ BadCkat”勒索病毒与其他勒索病毒的区别

　　1.加密文件方式不同,加密速度显著提高。“ BadCkat”

　　勒索病毒利用带有打开密码的word文件、加密的sfx自解压程序、运行时动态解密PE文件、虚拟机检测及沙箱检测技术来躲避安全厂商自动化分析检测系统的查杀。在加密文件的方式上采用非全文加密技术,并且支持加密的文件种类多达501种。这种非全文文件加密方式与此前最流行的四大勒索家族（Globelmposter, CrySiS、 GandGrab、 Satan）相比,文件加密速度显著提高。

　　2.加密算法不同。“ BadCkat”采用传统的RSA+AES组合加密算法对被感染PC上的文件进行加密,与其他勒索软件不同的是,该勒索软件的RSA公钥并没有被内置在程序中,而需通过Tor匿名网络从C&C动态获取。如果黑客没有公布RSA私钥, 则无法对被加密的文件进行解密还原。

　　三、网络安全工作提示

　　为避免被该勒索病毒加密感染,请各单位按照以下几方面工作建议开展工作:一是加强数据备份。对重要的数据、文件进行定期备份,确保数据安全。二是防止钓鱼邮件。对收到的邮件保持警惕,不要点击来源不明的邮件以及附件。三是及时升级打补丁。开启防火墙,并升级到最新版本,阻止勒索病毒与其C&C服务器通信。及时给电脑打补丁,修复漏洞。四是突出情况及时上报。目前,启明星辰公司向我中心上报了5起我市重点单位感染勒索病毒情况,现均已处置整改完毕。请各单位接通报后立即开展工作,如发生突发网络安全事件第一时间向我中心上报。

　　

　　

　　

　　(联系人:宋扬,联系电话:53121239)