破坏而非加密文件的勒索软件Combo13分析
近日,安天CERT发现了一个采用.NET框架开发的名为Combo13的勒索软件。该勒索软件变种最早于2021年4月被发现,主要通过垃圾邮件进行传播。
值得关注的是Combo13勒索软件并未采用加密算法进行文件加密而是采用随机字节数据覆盖的方式覆盖文件全部原始数据,从而造成文件数据的彻底损坏。无论受害者是否缴纳赎金,攻击者都无法为受害者解密文件。基于该勒索软件并没有删除卷影副本,受害者可通过卷影副本来恢复数据。
经验证,安天智甲终端防御系统(简称IEP)的勒索软件防护模块可有效阻止Combo13勒索软件的修改文件行为。
02Combo13勒索软件对应ATT&CK的映射图谱
图2‑1 Combo13勒索软件技术特点对应ATT&CK的映射
表2‑1 具体技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
初始访问 | 网络钓鱼 | 通过垃圾邮件进行传播 |
执行 | 利用命令行和脚本解释器 | 使用bat命令删除自身 |
诱导用户执行 | 诱导用户执行邮件中的附件 | |
发现 | 发现文件和目录 | 枚举系统内文件和目录 |
影响 | 损毁数据 | 采用随机字节数据覆盖的方式覆盖文件原始数据 |
篡改可见内容 | 采用随机字节数据覆盖的方式覆盖文件原始数据 |
3.1 个人防护
(1) 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源奠定基础;
(2) 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;
(3) 主机加固:对系统进行渗透测试及安全加固;
(4) 灾备预案:建立安全灾备预案,确保备份业务系统可以快速启用;
(5) 安全服务:若遭受勒索软件攻击,建议及时断网,并保护现场等待安全工程师对计算机进行排查。安天提供7*24小时安全服务热线:400-840-9234。
目前,安天智甲终端防御系统可实现对Combo13勒索软件的查杀与有效防护。
加密文件命名方式 | <原文件名>+<原文件后缀名>+.id-1E192D2A.[xmmh@tutanota.com].combo13 |
联系方式 | 联系邮箱 |
加密文件类型 | 除特定文件格式外,使用随机数据对其余文件格式中的数据进行数据覆盖 |
勒索币种与金额 | 比特币 |
是否有针对性 | 否 |
能否解密 | 不能解密,但可通过卷影副本恢复数据 |
是否内网传播 | 否 |
5.1 样本标签
病毒名称 | Trojan[Ransom]/MSIL.Agent |
原始文件名 | IS_room_start.exe |
MD5 | 857E6E8A8D20B76066D72F432B7B1A71 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 8.00 KB(8,192字节) |
文件格式 | Win32 EXE |
时间戳 | 2021-04-16 14:48:36 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-05-10 03:26:23 |
VT检测结果 | 42/69 |
5.2 样本行为
exe | bat | com | sys | lnk |
dll | avi | msi | bin | html |
Program Files | Program Files (x86) | ProgramData | Windows |
C:\Users目录下被加密的文件如下图所示:
被加密前后的文件对比如下图所示:
Combo13勒索软件并未采用加密算法进行文件加密而是采用随机字节数据覆盖的方式覆盖文件全部原始数据,造成文件数据的损坏。无论受害者是否缴纳赎金,攻击者都无法为受害者解密文件。
IoCs |
857E6E8A8D20B76066D72F432B7B1A71(Combo13样本) |
supportdata@cock.li(攻击者邮箱) |
xmmh@tutanota.com(攻击者邮箱) |