Satan勒索病毒家族追踪及安全防御解密方法

一、家族简介
撒旦(Satan)病毒是一款恶意勒索程序，首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。
Satan勒索病毒主要用于针对服务器的数据库文件进行加密，非常具有针对性，当文件的后缀名为：
mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp
时，则加密相应的文件，如果后缀是如下列表：
cab、dll、msi、exe、lib、iso、bin、bmp、tmp、log、ocx、chm、dat、sys、wim、dic、sdi、lnk、gho、pbk
则不加密文件。
二、家族发展演变史
第一代撒旦(Satan)勒索病毒
2017年1月份，国外某安全研究人员，在Twitter发布了一款新型的利用RaaS进行传播的勒索病毒，如下：

此勒索病毒允许任何人通过注册一个帐户，就可以在其网站上创建他们自己的定制版的撒旦(Satan)勒索病毒，相关的暗网网站域名如下：
satan6dll23napb5.onion (目前该网站已关闭)
第二代撒旦(Satan)勒索病毒
2016年Shadow Brokers***NSA下属Equation Group，并最终于2017年4月14晚,Shadow Brokers在互联网上发布了之前获得的NSA方程式***组织的部分文件，包含针对windows操作系统以及其他服务器系统软件的多个高危漏洞工具(永恒之蓝)等。
2017年5月12日，WannaCry爆发，随后又有多起利用永恒之蓝的勒索病毒出现，如：
NotPetya等，它们都使用了永恒之蓝漏洞用于在内网中迅速传播，扩大感染面，而且勒索支付率较高，此时撒旦(Satan)勒索病毒制作团伙，也看准了这个机会，于是暗中开发出它们的更新版本，于2017年11月左右更新出了利用永恒之蓝传播的撒旦(Satan)勒索病毒最新变种。
2017年12月份，国外安全研究人员在Twitter更新了撒旦(Satan)勒索病毒的最新进展，发现其利用了永恒之蓝进行传播，如下：

2018年4月份，国内安全厂商都监控到了大量的撒旦(Satan)病毒传播，于是发布了相关的公布和预警，深信服EDR安全团队也第一时间跟进了此事，并对Satan的变种进行了相关的报道，如下：

撒旦(Satan)勒索病毒最新的变种，相对于第一版的RaaS的撒旦(Satan)勒索病毒，不仅仅使用了永恒之蓝漏洞进行传播，而且其更具有针对性，只加密服务器中相应的数据库文件，不加密其它类型的文件，同时勒索病毒会使用三种语言显示勒索信息，如下：

第三代撒旦(Satan)勒索病毒
2018年5月底出现了撒旦(Satan)勒索病毒的最新的变种，它不仅仅利用了永恒之蓝漏洞，还利用了多个WEB相关的漏洞进行传播，国外某安全厂商也对相关的样本进行了跟踪分析，同时深信服EDR也跟踪了此事，并在公司内部发布了相应的预警报告，如下：

同时我们从撒旦勒索病毒的一个远程恶意服务器上发现了相应的样本以及各种内网传播工具包，如下所示：


从上可以发现，***服务器上各种内网传播的相关漏洞利用工具、脚本等，第三代撒旦勒索病毒，加密使用的后缀未发生改变，同样使用.satan，传播方式，不仅仅利用永恒之蓝进行传播，同时也利用了多个WEB利用漏洞进行传播，相关的WEB漏洞列表如下：

• JBoss反序列化漏洞（CVE-2017-12149)
• JBoss默认配置漏洞(CVE-2010-0738)
• Put任意上传文件漏洞
• Tomcat web管理后台弱口令爆破
• Weblogic WLS 组件漏洞(CVE-2017-10271)

第四代撒旦(Satan)勒索病毒
最近MalwareHunterTeam发现了一款新型的Satan勒索病毒DBGer勒索病毒，其属于撒旦(Satan)勒索病毒的最新的变种样本，不仅仅利用了之前的一些安全漏洞，同时还加上了Mimikatz的功能，如下：

其加密后的文件后缀名变为了.dbger
撒旦(Satan)勒索病毒经过一年多的变化，其传播方式不断在发生改变，***的主要目的就是为了扩大感染面积，提高赎金的支付率，下表为该勒索病毒四次版本的比较：

三、发展趋势与预防措施
2017年勒索病毒爆发的一年，由于永恒之蓝漏洞的公开，导致勒索病毒可以在内网中迅速传播，大量用户中招，有人说2018年勒索病毒不流行了，事实上，从我们监控的数据可以发现勒索病毒在2018年仍然非常流行，基本上每天都会有新的变种或新的家族出现，仍然是恶意软件中最严重的威胁，深信服EDR安全团队，通过深入分析研究了十几款勒索病毒家族，从中得出了2018年上半年最流行的最新勒索病毒“四大家族”，分别是：
1.Globelmposter勒索病毒
2018年3月份在国内各大医院爆发，主要通过RDP爆破的方式植入，到目前为止，短短几个月的时候内，已经发现多个此勒索病毒的变种样本，其加密后的文件后缀多达十几个之多，目前仍然不断有新的医院受到此勒索病毒的***。
2.CrySiS勒索病毒
2018年3月爆发，国内数台服务器文件被加密为.java后缀的文件，采用RSA+AES加密算法，主要通过RDP爆破的方式植入，同时此勒索病毒在最近也不断出现它的新的变种，其加密后缀也不断变化之中。
3.GandGrab勒索病毒
GandGrab勒索家族是2018年1月首次才出现的，应该算是勒索病毒家族中的最年轻，但是最流行的一个勒索病毒家族，短短几个月的时候内，就出现了多个此勒索病毒家族的变种，而且此勒索病毒使用的感染方式也不断发生变化，使用的技术也不断在更新，此勒索病毒主要通过邮件进行传播，采用RSA+ASE加密的方式进行加密，文件无法还原。
4.Satan勒索病毒
Satan勒索病毒最新的几款变种，主要通过RDP爆破的方式植入服务器，主要针对服务器的数据库文件进行加密，而且不断增加各种内网传播的技术，利用了永恒之蓝等多个漏洞，增加感染面积，可见背后的***团伙不断地在更新此勒索病毒的内网传播手段。

如何有效的御防未知的安全风险，再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

• 不要点击来源不明的邮件附件，不从不明网站下载软件
• 及时给主机打补丁，修复相应的高危漏洞
• 对重要的数据文件定期进行非本地备份
• 尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等
• RDP远程服务器等连接尽量使用强密码，不要使用弱密码
• 安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能
  

转载于:https://blog.51cto.com/14119124/2353510