Lucky多平台勒索病毒泛起鉴黑担保网提供解决计划

宣布时间 2018-11-30

克日，，，，一款名为Lucky的跨平台勒索病毒泛起。。。。。该病毒撒播能力极强，，，，可运用多种误差组合举行撒播，，，，同时支持熏染Linux和Windows操作系统，，，，加密文件接纳高强度加密RSA+AES算法，，，，并且还会消耗主机资源举行挖矿。。。。。

Lucky勒索病毒整体流程如下：

手艺剖析：

Lucky病毒分为多个�？？？�，，，，包括下载�？？？�，，，，撒播�？？？椤⒗账髂？？？楹屯诳竽？？？榈�。。。。。

1、下载�？？？�

主要是下载Windows平台下的conn.exe和srv.exe到C：\Program Files\Common File\System目录下然后挪用ShellExecute去执行。。。。。

2、撒播�？？？�

撒播�？？？橹饕墓π侨险鎤indows平台上的横向移动，，，，会使用如下误差或弱口令举行撒播。。。。。

● Apache Struts2远程代码执行误差

● CVE-2018-1273误差

Windows系统使用CVE-2018-1273误差上传fast.exe病毒Downloader至C盘根目录。。。。。

Linux系统使用CVE-2018-1273误差上传ft32和ft64病毒Downloader至效劳器。。。。。

● Tomcat治理后台弱口令爆破

● 系统账户和密码爆破

● JBoss反序列化误差使用

● JBoss默认设置误差

● Weblogic WLS 组件误差

● Struts2远程执行S2-057误差

● Struts2远程执行S2-045误差

● Windows SMB远程代码执行误差MS17-010（永恒之蓝）

3、勒索�？？？�

Windows平台下会遍历下面这些后缀的文件并使用RSA+AES算法对文件举行加密，，，，加密后的文件扩展名为“.Lucky”。。。。。

同时扫除以下路径：

Linux系统下则会加密如下后缀名的文件：
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并扫除如下路径：
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
无论是哪种操作系统，，，，在加密完成后都会将session ID、被加密文件个数、文件巨细，，，，系统等信息上报到C&C效劳器。。。。。

4、挖矿�？？？�

挖矿�？？？槭褂每创氡嘈�，，，，其矿池地点如下：

解决计划

1、产品防护

● 已安排鉴黑担保网IDS，，，，IPS，，，，WAF产品的客户请确认如下事务规则已经下发并应用，，，，即可有用检测/阻断Lucky病毒的撒播。。。。。

● 已安排鉴黑担保网APT产品的客户无需升级，，，，即可在Lucky病毒下载历程中还原样本并有用检测。。。。。

撒播�？？？椋�

挖矿�？？？椋�

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

勒索�？？？椋�

2、另外，，，，关于未中病毒的机械应接纳以下步伐阻止受到熏染：

● 给系统和应用程序打全补丁，，，，隔离木马撒播途径。。。。。
● 关闭局域网共享，，，，以及很是用端口，，，，阻止遭受熏染。。。。。

关于已中毒的机械应该接纳以下步伐阻止病毒继续撒播：

● 隔离熏染主机，，，，关闭所有网络毗连，，，，避免横向撒播。。。。。
● 使用杀毒软件通盘问杀木马。。。。。
● 修补对应的系统或应用误差。。。。。

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

关于鉴黑担保网

Lucky多平台勒索病毒泛起鉴黑担保网提供解决计划

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线

软件升级

投资者关系

关于鉴黑担保网

Lucky多平台勒索病毒泛起 鉴黑担保网提供解决计划

7*24小时效劳热线

Lucky多平台勒索病毒泛起鉴黑担保网提供解决计划