亚信信息系统安全周报_CN_18052亚信安全.DOCVIP

? ? ? 病毒情报中心 ? 系统漏洞信息 一周病毒情况报告热门病毒综述- RANSOM_BLACKHEART.THDBCAH? KB4103725 系统安全技巧 ? 产品 BLACKHEART勒索病毒预警 病毒码情况 ? 一周病毒情况报告 ? 本周用户报告感染数量较多的病毒列表 INFECT.MBR-B*家族 ? 亚信安全热门病毒综述 ? - RANSOM_BLACKHEART.THDBCAH 该勒索病毒将合法的远控软件AnyDesk与恶意程序捆绑在一起，在用户访问恶意网站时不经意下载感染本机，从而导致系统中文件被加密。 对该病毒的防护可以从下述连接中获取最新版本的病毒码：14.261.60 ? /Anti-Virus/China-Pattern/Pattern/ 病毒详细信息请查询： ? /vinfo/us/threat-encyclopedia/malware/RANSOM_BLACKHEART.THDBCAH ? 系统漏洞信息 ? 4103725) Windows 8.1 for 32-bit systems Windows Server 2012 R2 Windows RT 8.1 Windows Server 2012 R2 描述：/zh-cn/security-guidance ? 产品 ? 病毒码情况 在最近一周发布中国区病毒码情况如下： ? 2018年05月14日发布病毒码14.247.602018年05月15日发布病毒码14.249.602018年05月16日发布病毒码14.251.602018年05月17日发布病毒码14.253.602018年05月18日发布病毒码14.255.60 截至目前，病毒码的最高版本为14.261.60发布于2018年05月21日。 病毒码下载地址为： ? /Anti-Virus/China-Pattern/Pattern/ 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新： ? /Anti-Virus/China-Pattern/TSUT/ 趋势科技在最近一周发布全球病毒码情况如下： ? 201805月14日发布病毒码14.249.002018年05月15日发布病毒码14.251.002018年05月16日发布病毒码14.253.002018年05月17日发布病毒码14.255.002018年05月18日发布病毒码14.257.00 截至目前，病毒码的最高版本为14.263.00，发布于2018年05月21日。 病毒码下载地址为： ? /Anti-Virus/Main-Pattern/ 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新： /Anti-Virus/TSUT/ 系统安全技巧 ? 事件描述 近日，亚信安全截获最新BLACKHEART勒索病毒，该勒索病毒将合法的远控软件AnyDesk与恶意程序捆绑在一起，在用户访问恶意网站时不经意下载感染本机，从而导致系统中文件被加密。 亚信安全将该勒索病毒命名为RANSOM_BLACKHEART.THDBCAH。 BLACKHEART勒索病毒技术细节分析 BLACKHEART勒索病毒下载执行后，其会生成如下两个文件： ?%User Temp%\ANYDESK.exe ?%User Temp%\BLACKROUTER.exe 【BLACKHEART勒索病毒生成的文件 其中第一个文件ANYDESK.exe就是合法的远控软件Windows，MacOS，Linux和FreeBSD）之间进行双向远程控制，可以在Android和iOS上单向访问。另外，还文件传输，聊天，会话记录等功能 值得注意的是，该勒索病毒使用的是旧版本的AnyDesk远控软件，而不是当前的最新版本。 【本案例中AnyDesk用户界面 其将通过以下命令删除卷影副本： ?”cmd.exe” /c vssadmin.exe delete shadows /all /quiet 第二个文件是真正的勒索软件。经过分析，我们发现它是一个相当常见的勒索软件，该勒索软件对使用不同扩展名的文件进行加密，具体加密的文件扩展名列表如下： 其会在以下文件夹中搜索并加密扩展名文件： %Desktop% ?%Application Data% ?%AppDataLocal% ?%Program Data% ?%User Profile% ?%System Root%\Users\All Users ?%System Root%\Users\Default ?%System Root%\Users\Public ?All Drives except for %System Root% 被加密后的文件扩展名为.BlackRout