安全动态

近日，太阳成集团tyc7111cc谛听实验室监测到在野的Money Message勒索病毒，该组织是一种勒索软件即服务(RaaS)模式犯罪团伙，攻击全球各行业知名企业，通过窃取并加密用户数据、索要巨额赎金获取巨大收益。

据该组织地下网络博客称，目前还有接近2百万条待公开的受害者记录，目前受害者包括美国最大的药房药物公司PharMerica、微星国际（MSI）计算机硬件提供商、商业财产和意外伤害保险服务商Golden Bear等。

经验证，太阳成集团tyc7111cc下一代防火墙、EDR、自适应安全防御系统、僵尸网络木马和蠕虫监测与处置系统、病毒过滤网关可精确检测并查杀该勒索病毒，提供全面的安全保护，有效阻止该事件蔓延。

病毒分析

Money Message勒索病毒使用C++语言编写，目前最早在野样本出现在3月19日。

Money Message勒索病毒的运行界面如下图所示。首先枚举并结束指定的进程与服务，并搜索受害主机上的本地磁盘类型。

调用系统程序ssadmin.exe 执行delete shadows /all /quiet命令删除卷影副本，防止加密文件后被本地服务数据恢复备份。

之后创建多个线程执行加密，占用CPU较高性能。由于采用的算法强度较高，加密文件的速度比较慢，如果在加密过程中发现并结束勒索可以挽回一定损失。

如下是勒索病毒运行过程中内存中会解密的配置文件，包含了加密过程的黑名单进程与服务名称，白名单文件目录，网络密钥等重要信息。

此外勒索病毒在软件中内嵌了加密的白名单文件列表，包括desktop.ini、ntuser.dat、thumbs.db、iconcache.db、ntuser.ini、ntldr、bootfont.bin、ntuser.dat.log、bootsect.bak、boot.ini、autorun.inf。

和常规勒索病毒不同的是，Money Message在加密文件后并不会更改文件后缀，这直接导致一些可执行文件在被加密后会出现格式报错，文本类文件可以直接打开但数据被加密出现乱码。

在C盘释放的money_message.log实则是勒索信，告知受害者缴纳赎金的谈判地址，并警告受害者如果在规定时间内拿不到赎金，将会公布受害者的私密数据。

Money Message勒索病毒采用ECDH和ChaCha20算法加密用户数据，该加密方式速度虽慢，但加密强度较高，目前还无法破解。

附录：

Money Message勒索加密配置文件：

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/money_message_ransom_config.json

样本IOC列表：

防护建议

及时修复系统及应用漏洞，降低被Money Message勒索病毒通过漏洞入侵的风险。

加强访问控制，关闭不必要的端口，禁用不必要的连接，降低资产风险暴露面。

更改系统及应用使用的默认密码，配置高强度密码认证，并定期更新密码，防止弱口令攻击。

定期进行数据备份，并将这些备份数据保存在离线环境或单独的网络中。

安装太阳成集团tyc7111cc安全产品加强防护，太阳成集团tyc7111cc下一代防火墙、EDR、自适应、僵木蠕、病毒过滤网关，可有效防御该勒索病毒。

太阳成集团tyc7111cc产品防御配置

一、太阳成集团tyc7111cc下一代防火墙系统防御配置

1、通过访问控制策略加强禁用不必要的端口、服务，缩小资产暴露面，降低传染风险；

2、开启弱口令防护、暴力破解防护功能，可有效降低口令破解风险;

3、升级到最新病毒特征库，配置病毒防护策略，可有效检测并阻断勒索病毒传播。

4、开启联动功能，获取太阳成集团tyc7111ccEDR、太阳成集团tyc7111cc病毒过滤网关、太阳成集团tyc7111cc僵尸网络木马和蠕虫监测与处置系统等产品检测结果，及时拦截传播/感染源，控制网络传播范围；

5、开启资产防护功能，启用资产行为基线功能，通过检测资产异常行为，可及时发现隐藏攻击行为并启用策略进行阻断。

二、太阳成集团tyc7111ccEDR系统防御配置

1、通过微隔离策略加强访问控制，降低横向感染风险；

2、开启文件实时监控功能，可有效预防和查杀该勒索病毒;

3、开启系统加固功能，可有效拦截该勒索病毒对系统关键位置进行破坏和篡改。

三、太阳成集团tyc7111cc自适应安全防御系统防御配置

1、通过微隔离策略加强访问控制，降低横向感染风险；

2、通过风险发现功能扫描系统是否存在相关漏洞和弱口令，降低风险、减少资产暴露；

3、开启病毒实时监测功能，可有效预防和查杀该勒索病毒。

四、太阳成集团tyc7111cc僵尸网络木马和蠕虫监测与处置系统配置

1、升级最新威胁情报库，开启威胁情报恶意文件检测和捕获功能，实时检测和捕获网络中的勒索病毒；

2、开启威胁情报日志记录和报警功能；

3、可配置旁路阻断或者太阳成集团tyc7111cc防火墙联动，拦截勒索病毒网络传播。

五、太阳成集团tyc7111cc病毒过滤网关防御配置

1、升级到最新病毒特征库；

2、开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测；

3、配置病毒检测处置策略;

4、开启日志记录和报警功能。

太阳成集团tyc7111cc产品获取方式

太阳成集团tyc7111cc下一代防火墙、过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品特征库下载地址: ftp://ftp.topsec.com.cn

太阳成集团tyc7111cc自适应安全防御系统、太阳成集团tyc7111ccEDR企业版试用：可通过太阳成集团tyc7111cc各地分公司获取。查询网址：

http://www.topsec.com.cn/contact/

太阳成集团tyc7111ccEDR单机版下载地址：http://edr.topsec.com.cn