针对新型SWIFT勒索病毒的详细分析报告

原文首发出处：

https://xz.aliyun.com/t/13777

先知社区 作者：熊猫正正

这几年勒索病毒已经在全球范围内大规模爆发，全球基本上每天都有企业被勒索病毒攻击，勒索攻击已经成为了全球网络安全最大的威胁，未来随着数字经济的发展，勒索攻击在未来几年，甚至很长的一段时间内仍然是全球最大的网络安全威胁，而且勒索攻击已经形成了一套非常完整的生态化体系运作流程，要想彻底解决勒索病毒需要涉及到很多层面，这也是为啥勒索攻击一直无法有效解决的原因。

最近几个国家联手打击LockBit勒索病毒黑客组织，可能LockBit勒索病毒黑客组织会像此前的GandCrab和Sodinokibi勒索病毒黑客组织一样消失，但是勒索攻击仍然会一直发生，正所谓野火烧不尽，春风吹又生，只要勒索攻击能给黑客组织带来巨大的经济利益，就会一直有新的勒索病毒黑客组织出现，需要持续关注。

笔者近期注意到一款新型的勒索病毒SWIFT，并对这款新型的勒索病毒进行了详细分析。

相关命令，如下：

vssadmin Delete Shadows /All /Quiet

bcdedit /set {default} recoveryenabled No

bcdedit /set {default} bootstatuspolicy ignoreallfailures

wmic SHADOWCOPY /nointeractive

11.将程序拷贝一份到系统开始自启动目录下，命名为此前生成的[ID].exe，如下所示：

进程列表：

wxServer,wxServerView,sqlmangr,RAgui,supervise,Culture,Defwatch,winword,QBW32,QBDBMgr,qbupdate,axlbridge,httpd,fdlauncher,MsDtSrvr,java,360se,360doctor,wdswfsafe,fdhost,GDscan,ZhuDongFangYu,QBDBMgrN,mysqld,AutodeskDesktopApp,acwebbrowser,CreativeCloud,AdobeDesktopService,CoreSync,AdobeCEF,Helper,node,AdobeIPCBroker,sync-taskbar,sync-worker,InputPersonalization,AdobeCollabSync,BrCtrlCntr,BrCcUxSys,SimplyConnectionManager,Simply.SystemTrayIcon,fbguard,fbserver,ONENOTEM,wsa_service,koaly-exp-engine-service,TeamViewer_Service,TeamViewer,tv_w32,tv_x64,TitanV,Ssms,notepad,RdrCEF,sam,oracle,ocssd,dbsnmp,synctime,agntsvc,isqlplussvc,xfssvccon,mydesktopservice,ocautoupds,encsvc,tbirdconfig,mydesktopqos,ocomm,dbeng50,sqbcoreservice,excel,infopath,msaccess,mspub,onenote,outlook,powerpnt,steam,thebat,thunderbird,visio,wordpad,bedbh,vxmon,benetns,bengien,pvlsvr,beserver,raw_agent_svc,vsnapvss,CagService,DellSystemDetect,EnterpriseClient,ProcessHacker,Procexp64,Procexp,GlassWire,GWCtlSrv,WireShark,dumpcap,j0gnjko1,Autoruns,Autoruns64,Autoruns64a,Autorunsc,Autorunsc64,Autorunsc64a,Sysmon,Sysmon64,procexp64a,procmon,procmon64,procmon64a,ADExplorer,ADExplorer64,ADExplorer64a,tcpview,tcpview64,tcpview64a,avz,tdsskiller,RaccineElevatedCfg,RaccineSettings,Raccine_x86,Raccine,Sqlservr,RTVscan,sqlbrowser,tomcat6,QBIDPService,notepad++,SystemExplorer,SystemExplorerService,SystemExplorerService64,Totalcmd,Totalcmd64,VeeamDeploymentSvc

13.遍历上面的进程列表，并结束该进程，如下所示：

服务列表：

wrapper,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,Sqlservr,sqlagent,sqladhlp,Culserver,RTVscan,sqlbrowser,SQLADHLP,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,msmdsrv,tomcat6,zhudongfangyu,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8,MSSQL$MICROSOFT##WID,MSSQL$VEEAMSQL2012,SQLAgent$VEEAMSQL2012,SQLBrowser,SQLWriter,FishbowlMySQL,MSSQL$MICROSOFT##WID,MySQL57,MSSQL$KAV_CS_ADMIN_KIT,MSSQLServerADHelper100,SQLAgent$KAV_CS_ADMIN_KIT,msftesql-Exchange,MSSQL$MICROSOFT##SSEE,MSSQL$SBSMONITORING,MSSQL$SHAREPOINT,MSSQLFDLauncher$SBSMONITORING,MSSQLFDLauncher$SHAREPOINT,SQLAgent$SBSMONITORING,SQLAgent$SHAREPOINT,QBFCService,QBVSS,YooBackup,YooIT,vss,sql,svc$,MSSQL,MSSQL$,memtas,mepocs,sophos,veeam,backup,bedbg,PDVFSService,BackupExecVSSProvider,BackupExecAgentAccelerator,BackupExecAgentBrowser,BackupExecDiveciMediaService,BackupExecJobEngine,BackupExecManagementService,BackupExecRPCService,MVArmor,MVarmor64,stc_raw_agent,VSNAPVSS,VeeamTransportSvc,VeeamDeploymentService,VeeamNFSSvc,AcronisAgent,ARSM,AcrSch2Svc,CASAD2DWebSvc,CAARCUpdateSvc,WSBExchange,MSExchange,MSExchange

15.遍历上面的服务列表，并停止服务，如下所示：

到此整个勒索病毒样本就分析完毕了，该勒索病毒流程非常清晰，是一款最新的勒索病毒，后面可能还会出现它的其他变种样本。

未来几年勒索攻击仍然会一直流行，勒索病毒攻击未来几年仍然将会是全球最大的网络威胁，而且只会越来越多，现在的黑客组织大部分都是为了获利，勒索病毒攻击的巨在利益已经让一些APT黑客组织也纷纷加入到勒索病毒攻击活动当中，全球最赚钱的Lazarus APT组织就曾利用勒索病毒进行勒索攻击活动，现在越来越多的APT组织也开始加入到勒索攻击当中，在被勒索病毒“几重”勒索压力之下，很多企业最后会选择交纳赎金，这也间接导致勒索攻击会越来越流行的根本原因。

搞钱成了黑客组织的最大目的，勒索攻击的巨大利益，自然而然的会让更多黑客组织加入进来，而且数字货币的流行又为勒索病毒黑客组织提供了“天然”的保护，如果像以前那种通过银行汇款到某个帐户或者使用微信扫描支付等方式，这种很容易被查，现在的数字货币流行也是导致勒索攻击流行的原因之一，未来数字货币的问题不解决勒索攻击仍然会一直流行，需要持续关注。

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家持续关注，获取全球最新的黑客组织攻击事件威胁情报。