Panther勒索病毒暴露背后黑手，“老豹”二次出洞不利再遭“團滅”

2020年07月03日 11:39:58 來源：互聯(lián)網(wǎng)

　　近日，360安全大腦監(jiān)測到一款Panther勒索病毒極為活躍，經(jīng)深度分析后發(fā)現(xiàn)，此為黑客團伙“老豹”的又一次“放毒”行動。

　　據(jù)了解，該組織于今年五月底開始“興風作浪”，通過以供應鏈攻擊的方式，下發(fā)潛伏在中文編程語言編譯環(huán)境的感染型病毒Peviru，導致用戶編譯的所有程序都難逃感染厄運，360安全大腦在發(fā)現(xiàn)后立即完成了對該病毒的攔截查殺。如今，重振旗鼓的“老豹”二次“出洞”，利用之前部署的病毒模塊下發(fā)新型勒索病毒Panther，再度掀起了一波網(wǎng)絡空間的惡浪。

　　不過廣大用戶無需擔心，目前360安全大腦已國內(nèi)首家實現(xiàn)對Panther勒索病毒的解密支持。中招用戶可盡快下載安裝360解密大師，及時驅(qū)散Panther勒索陰云，保護個人數(shù)據(jù)及財產(chǎn)安全。

圖片1.jpg

　　銷聲匿跡后二次“出洞”

　　“老豹”黑客團伙再現(xiàn)勒索江湖

　　五月底，360安全大腦在監(jiān)測到自帶感染性的Peviru病毒后發(fā)現(xiàn)，該病毒瞄準編譯程序的源頭，通過潛藏在中文編程語言安裝程序和其他相關模塊流竄全網(wǎng)，使眾多中招設備淪為被遠控木馬支配的“傀儡”。

圖片2.jpg

　　巧合的是，此次360安全大腦在攔截到新型勒索病毒Panther后，發(fā)現(xiàn)該組織在下發(fā)病毒的過程中，同樣利用了之前部署的病毒模塊，熟悉的“oldpanther”(老豹)字樣如同標識般再次出現(xiàn)在完整的進程鏈之中。但不同的是，此次黑客團伙“老豹”卻以“加密文件，勒索錢財”為目的，繼續(xù)肆虐網(wǎng)絡。

圖片3.jpg

　　該勒索病毒加載器為fixsys.exe，病毒作者使用VMProtect虛擬化殼保護勒索病毒的核心代碼，并通過Process Hollowing的注入方式將Panther勒索病毒本體注入到svchost.exe進程執(zhí)行。執(zhí)行后，該勒索病毒會遍歷磁盤分區(qū)并加密用戶文件。

圖片4.jpg

　　加密過程中，該勒索病毒采用文件后綴和文件目錄白名單機制，在如下白名單之外的所有文件均會被加密。

圖片5.jpg

　　另外，Panther勒索病毒采用RSA+AES(Rijndael)的加密方式，通過開源的CryptoPP加解密庫實現(xiàn)：

圖片6.jpg

　　1.加密文件之后會留下文件名為“LOCKED_README.txt”的勒索提示信，并提供暗網(wǎng)跟明網(wǎng)兩種解密服務;

圖片7.jpg

　　2.在其解密的網(wǎng)站提示用戶支付一個門羅幣(約400人民幣)的贖金，但是該門羅幣錢包地址暫時顯示還未收到任何贖金。

圖片8.jpg

　　“豹走”勒索態(tài)勢或?qū)⒀永m(xù)

　　360安全大腦國內(nèi)首家支持解密

　　在Panther勒索病毒被發(fā)現(xiàn)不久后，不少用戶陸續(xù)反饋不慎中招。依據(jù)360安全大腦對之前該黑客團伙下發(fā)的Peviru感染型病毒的增長趨勢進行推測，此次Panther勒索病毒在后續(xù)一段時間內(nèi)仍會呈現(xiàn)持續(xù)攀升態(tài)勢。因此，廣大用戶的對于網(wǎng)絡安全的防護意識且不可掉以輕心。

圖片9.jpg