近日，360安全大腦監測到了一款新型勒索病毒正在大肆傳播。由于該病毒在感染主機後，會将受害電腦的桌面屏幕設置成為深藍色，并在加密電腦文件後向用戶實施勒索，因此360安全團隊将其形象地命名為“鎖藍”勒索病毒。

今年4月底，360安全大腦就監控到有黑客在利用各類Web組件漏洞攻擊用戶服務器，并植入“鎖藍”勒索病毒。随後黑客還開始嘗試使用更多方式傳播該病毒，以擴大傳播範圍。同時，該病毒還利用了CVE-2018-8453 Windows内核提權漏洞，使病毒威力進一步加強。不過廣大用戶不必擔心，360安全衛士無需升級即可攔截該勒索病毒。

“鎖藍”勒索病毒勒索信息

獨寵Weblogic有隐情，

因高額保護費棄用GandCrab？

雖然“開拓”了許多新的傳播方式，但“鎖藍”近期最常用的，還是通過Web應用漏洞攻擊服務器來植入勒索病毒。在攻擊目标的選擇上，“鎖藍”也顯得十分專一，Weblogic占所有被攻擊應用的90%以上。

為什麼會出現這種“隻薅一隻羊”的情況呢？360安全大腦經過分析之後發現了這背後的原因：攻擊者主要使用的是一個4月底最新披露的Weblogic遠程代碼執行漏洞，因為許多用戶還沒來得及打補丁，“鎖藍”才會屢屢得手。于是，Weblogic就成了那隻“最容易薅的羊”。

而“鎖藍”背後的料還不止這些。360安全團隊通過家族關聯發現，今年4月底投遞“鎖藍”勒索病毒的攻擊團夥，與之前攻擊服務器植入GandCrab勒索病毒的攻擊團夥有較大關聯，兩者使用了多個相同的C&C，代碼的混淆上也有很多相似之處！

監測數據顯示4月中旬，該團夥在進行Web服務器攻擊時，還在投遞GandCrab勒索病毒。而最近該團夥在投遞“鎖藍”勒索病毒的同時，也還會向部分服務器投遞GandCrab 5.2勒索病毒。這些情況都表明，傳播兩款勒索病毒的，很有可能是同一個網絡犯罪團夥。

那麼，為何他們不再大肆傳播GandCrab勒索病毒而是選擇一種新的勒索病毒呢？

對此，360安全團隊猜測，這也許是因為該攻擊團夥不願意繼續向GandCrab勒索病毒開發團隊支付私鑰購買費用，想要“另立山頭”。據悉，GandCrab勒索病毒開發者曾“明碼标價”：傳播該病毒的黑客可以以每個100美元或者每周300美元的形式向病毒開發者購買私鑰。這種高昂且持續的“病毒版權費”（或者可以稱作“保護費”），或許就是該攻擊團夥逐漸放棄GandCrab轉為傳播“鎖藍”的重要原因。

全面撒網重點捕撈？

360安全大腦強力查殺！

攻擊Web應用還未停歇，垃圾郵件也成了“鎖藍”勒索病毒最熱衷的傳播方式。在5月1日-5月8日期間，360安全大腦捕捉到兩種通過垃圾郵件傳播的“鎖藍”勒索病毒載體，一種是僞裝成圖片的可執行文件，另一種則是帶有惡意宏的Word文檔。

從勒索病毒所使用的文件名看，攻擊者的目标為韓語使用者。根據360安全大腦監控數據得知，遭到該釣魚郵件攻擊的國内用戶主要為韓語教學從業者、外貿行業從業者、在華韓國人，除此之外，運輸行業從業者也是易受攻擊的人群。以“報價”、“發票”等字樣作為文件名的釣魚文檔是以上這些行業遭到的攻擊中最常見的。

針對此類攻擊，360安全大腦提醒廣大管理員和企業用戶做好防護，抵禦勒索病毒攻擊，同時建議服務器管理員應及時為系統及系統中運行的Web應用安裝補丁，并使用強度較高的系統登錄密碼和Web應用後台登錄密碼。

對于普通用戶，360安全大腦建議不要随意打開來源不明的郵件中的附件、文檔、鍊接等，尤其是帶有“報價”、“發票”等字樣的文件更要小心，同時安裝360安全衛士攔截“鎖藍”勒索病毒，保護電腦安全。

IOCs：

hxxp://165.22.155.69/wolf.exe

hxxp://188.166.74.218/go.b64

hxxp://188.166.74.218/fox.exe

hxxp://188.166.74.218/dog.exe

hxxp://188.166.74.218/ment.exe

hxxp://188.166.74.218/office.exe

hxxp://188.166.74.218/untitled.exe

hxxp://188.166.74.218/radm.exe

hxxp://45.55.211.79/.cache/untitled.exe

hxxp://68.183.62.59/horse.exe

8e00206418ab31539111515533a9953f

77fcd5f32613cec97cd2ebd2922685d2

5648049aade846e138f4d7c80b592505

145ba213336bbb05c09d2bcf198aa3bd

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!