【安全资讯】“匿影”挖矿团伙新增勒索组件CryptoJoker

国内安全团队发现“匿影”挖矿团伙的攻击活动升级，新增加密勒索组件CryptoJoker，该组织已从之前的挖矿计算转向勒索攻击非法牟利。匿影组织传播的勒索病毒组件在执行过程中采用无文件攻击技术，攻击过程中全程无样本文件落地，且在加密数据完成之后会清理定时任务，令事件溯源十分困难。

该组织多次使用拼音首字母缩写，且警告信存在明显语法问题，因此推测该团伙为国内黑产组织。匿影组织本次攻击活动的执行流程如下：

“匿影”最新变种依然沿用NSA武器库中的永恒之蓝漏洞工具对目标发起攻击，攻陷目标后在失陷主机上启动X86/X64.dll的感染流程。首先检测该目标是否已经感染本组织的挖矿木马，如果已感染该团伙的挖矿木马，则不再继续感染勒索。初始有效载荷会释放勒索功能模块和横向移动模块。横向移动沿用永恒之蓝漏洞利用工具包。勒索模块样本使用文件嵌套的形式执行加密勒索与清理功能，全程文件不落地，文件加密沿用经典的AES+RSA模式，加密文件后缀为.devos。勒索信中给出了被攻陷主机个人ID，并自称为CryptoJoker，勒索金额额度为0.1BTC。

目前还未在社交媒体平台见到感染CryptoJoker公开求助的情况，且该地址暂无交易发生，因此推测匿影病毒升级该勒索组件的时间不长，目前受害系统还不多。

安全建议：

建议企业运维人员采取以下措施应对匿影团伙的勒索攻击活动：

1、安装永恒之蓝漏洞补丁，手动下载请访问以下页面：
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

其中WinXP，Windows Server 2003用户请访问：
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

3、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

4、对重要文件和数据（数据库等数据）进行定期非本地备份。

5、在终端/服务器部署专业安全防护软件。