幽灵勒索病毒再度来袭，加密上百种常用文件

2019 年 2 月 1 日 宅客频道

2月1日宅客频道消息，腾讯御见威胁情报中心监测发现，从2018年10月份开始恶意JS电子邮件附件数量持续增长。经分析发现，攻击者通过发送钓鱼邮件，诱导受害者打开并运行附件中的恶意JS脚本，进而下载Shade（幽灵）勒索病毒。

该勒索病毒会下载CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站点，之后再通过这些被入侵的站点继续传播Shade（幽灵）勒索病毒。截止目前，已有超过2000个CMS站点遭到入侵（cms站点是被业内广泛使用的内容管理系统，企业或个人可通过CMS系统创建自己的博客、知识库、社区、论坛等内容网站）。

Shade（幽灵）勒索病毒首次出现于2014年末，针对Windows操作系统，它主要通过Axpergle和Nuclear漏洞攻击包、钓鱼邮件等进行分发。历史版本加密文件后缀有“.da_vinci_code”、“.magic_software_syndicate”、“.no_more_ransom”、“.dexter”。而本次发现的病毒版本为v4.0.0.1，加密文件后会添加“. crypted000007”后缀。

该版本的Shade（幽灵）勒索病毒具有如下特点：

1、加密jpg，jpeg，png，xls，xlsx，doc，docx，ppt，txt，mp3，mp4，mov等上百种常用类型的数据文件，不影响系统的正常运行；
2、检查文件是否已经被加密，避免重复加密；
3、删除卷影信息，删除备份相关文件；
4、设置受害者的电脑桌面背景，英俄双语提示受害者文件已经被勒索；
5、在受害者的电脑桌面上，创建了10个内容相同的文件README1.txt，... README10.txt，文件中分别用英俄双语引导受害者通过邮件或者Tor网络与攻击者联系解密；
6、所有C2服务器都位于Tor网络上；
7、该版本的Shade（幽灵）勒索病毒样本，绝大多数被存放在被攻陷的wordpress站点上，并伪装成jpg和pdf文件；
8、下载CMSBrute（CMS暴力破解者）模块入侵安全系数相对较低的wordpress等CMS站点，攻陷的站点将作为Shade（幽灵）勒索病毒的样本分发服务器。

Shade（幽灵）勒索病毒的攻击流程大致如下图所示：

安全专家建议企业用户，

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，不要随意点击运行或打开附件中未知的文件。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。