近期，安天CERT（CCTGA勒索软件防范应对工作组成员）发现多起针对汽车行业的勒索软件攻击事件，包括：Bridgestone（轮胎供应商）公司于2月27日遭受Lockbit 2.0勒索软件攻击，Denso（汽车零部件及系统供应商）公司于3月10日遭受Pandora勒索软件攻击，Snap-on（汽车相关工具制造商）公司和Empire Electronics（汽车照明组件供应商）公司于3月16日遭受Conti勒索软件攻击。

Pandora勒索软件出现于2022年2月，曾于3月10日攻击Denso公司，并于3月13日将窃取到的信息公布在Tor网站的数据泄露平台上（3月16日左右，相关信息已被删除）。

图2-1 Pandora数据泄露平台（部分受害者信息已被删除）

图2-2 受害者信息页面

图2-3 窃取文件数量

图2-4 受害者信息页面失效

图2-5 相同的密钥存储位置

3.1 个人防护

（4）及时更新补丁：建议开启自动更新功能安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；

（5）关闭高危端口：对外服务采取最小化原则，关闭3389、445、139、135等不用的高危端口；

3.2 企业防护

图3-1 安天智甲有效防护

图3-2 安天智甲阻止加密行为

表4-1 Pandora勒索软件概览

5.1 样本标签

5.2 样本分析

图5-1 检测当前主机中是否存在相同互斥量

图5-2 创建互斥量

图5-3 生成RSA密钥

图5-4 注册表存储密钥

图5-5 设置自身程序结束优先级

图5-6 清空回收站

图5-7 删除磁盘卷影

图5-8 检查磁盘类型

表5-2 绕过不加密的文件夹、文件及扩展名

加密文件结束后生成勒索信，内容包含勒索说明、联系方式及Tor网址。

国家互联网应急中心（CNCERT/CC）联合国内头部安全企业成立“中国互联网网络安全威胁治理联盟勒索软件防范应对专业工作组”（简称“CCTGA勒索软件防范应对工作组”），从勒索软件信息通报、情报共享、日常防范、应急响应等方面开展勒索软件防范应对工作，并定期发布勒索软件动态至官方网站（https://www.cert.org.cn/publish/main/44/index.html）或微信公众号（国家互联网应急中心CNCERT）。

参考资料

往期回顾

原文始发于微信公众号（安天集团）：Pandora勒索软件分析报告