Lucky多平台勒索病毒出现宝运莱官方网站提供解决规划

颁布功夫 2018-11-30

近日，一款名为Lucky的跨平台勒索病毒出现。该病毒传布能力极强，可使用多种缝隙组合进行传布，同时支持习染Linux和Windows操作系统，加密文件选取高强度加密RSA+AES算法，并且还会亏损主机资源进行挖矿。

Lucky勒索病毒整体流程如下：

技术分析：

Lucky病毒分为多个�？�，蕴含下载�？�，传布�？椤⒗账髂？楹屯诳竽？榈�。

1、下载�？�

重要是下载Windows平台下的conn.exe和srv.exe到C：\Program Files\Common File\System目录下而后挪用ShellExecute去执行。

2、传布�？�

传布�？橹匾闹澳苁钦乒躻indows平台上的横向移动，会使用如下缝隙或弱口令进行传布。

● Apache Struts2远程代码执行缝隙

● CVE-2018-1273缝隙

Windows系统利用CVE-2018-1273缝隙上传fast.exe病毒Downloader至C盘根目录。

Linux系统利用CVE-2018-1273缝隙上传ft32和ft64病毒Downloader至服务器。

● Tomcat治理后盾弱口令爆破

● 系统账户和密码爆破

● JBoss反序列化缝隙利用

● JBoss默认配置缝隙

● Weblogic WLS 组件缝隙

● Struts2远程执行S2-057缝隙

● Struts2远程执行S2-045缝隙

● Windows SMB远程代码执行缝隙MS17-010（永恒之蓝）

3、勒索�？�

Windows平台下会遍历下面这些后缀的文件并使用RSA+AES算法对文件进行加密，加密后的文件扩大名为“.Lucky”。

同时排除以下蹊径：

Linux系统下则会加密如下后缀名的文件：
bak zip sql mdf ldf myd myi dmp xls doc txt ppt csv rtf pdf db vdi vmdk vmx tar gz pem pfx cer psd
并排除如下蹊径：
/bin/ /boot/ /sbin/ /tmp/ /dev/ /etc/ /lib/
无论是哪种操作系统，在加密实现后城市将session ID、被加密文件个数、文件大幼，系统等信息上报到C&C服务器。

4、挖矿�？�

挖矿�？槭褂每创氡嘈�，其矿池地址如下：

解决规划

1、产品防护

● 已部署宝运莱官方网站IDS，IPS，WAF产品的客户请确认如下事务规定已经下发并利用，即可有效检测/阻断Lucky病毒的传布。

● 已部署宝运莱官方网站APT产品的客户无需升级，即可在Lucky病毒下载过程中还原样本并有效检测。

传布�？椋�

挖矿�？椋�

宝运莱·(中国区)最新官方网站

勒索�？椋�

2、另表，对于未中病毒的机械应采取以下措施预防受到习染：

● 给系统和利用法式打全补丁，断绝木马传布蹊径。
● 关关局域网共享，以及极度用端口，预防遭逢习染。

对于已中毒的机械应该采取以下措施阻止病毒持续传布：

● 隔离习染主机，关关所有网络衔接，预防横向传布。
● 使用杀毒软件全盘查杀木马。
● 建补对应的系统或利用缝隙。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

关于宝运莱官方网站

Lucky多平台勒索病毒出现宝运莱官方网站提供解决规划

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线

软件升级

投资者关系

关于宝运莱官方网站

Lucky多平台勒索病毒出现 宝运莱官方网站提供解决规划

7*24幼时服务热线

Lucky多平台勒索病毒出现宝运莱官方网站提供解决规划