【数据恢复】升级4代后最终活跃传播的.FARGO3勒索病毒
- 客户名称:国内某公司
- 售前服务顾问:吴顾问
- 恢复工程师:魏工
- 恢复工期:1天
- 恢复范围:一批数据库
- 恢复率:100%
近日, 我们收到有企业受到 .FARGO3勒索病毒的加密攻击求助。该病毒主要针对企业的Web应用和数据库服务器发起攻击,攻击者一直在使用 FARGO 勒索软件(也称为 Mallox 和 TargetCompany)攻击易受攻击的Microsoft SQL 服务器. FARGO 勒索软件感染始于使用 cmd.exe 和 powershell.exe 下载 .NET 文件,这有助于额外的恶意软件和储物柜检索,以及生成和执行负责进程和服务终止的 BAT 文件。当恶意软件执行恢复停用命令时,FARGO 勒索软件并未加密关键软件和目录,包括 Microsoft Windows 系统目录、Tor 浏览器、Internet Explorer、启动文件、调试日志文件和缩略图数据库,以及用户自定义和设置。然后使用“.Fargo3”重命名所有加密文件。
【数据恢复】升级4代后最终活跃传播的.FARGO3勒索病毒
案例简介:
近日, 我们收到有企业受到 .FARGO3勒索病毒的加密攻击求助。该病毒主要针对企业的Web应用和数据库服务器发起攻击,攻击者一直在使用 FARGO 勒索软件(也称为 Mallox 和 TargetCompany)攻击易受攻击的Microsoft SQL 服务器. FARGO 勒索软件感染始于使用 cmd.exe 和 powershell.exe 下载 .NET 文件,这有助于额外的恶意软件和储物柜检索,以及生成和执行负责进程和服务终止的 BAT 文件。当恶意软件执行恢复停用命令时,FARGO 勒索软件并未加密关键软件和目录,包括 Microsoft Windows 系统目录、Tor 浏览器、Internet Explorer、启动文件、调试日志文件和缩略图数据库,以及用户自定义和设置。然后使用“.Fargo3”重命名所有加密文件。
目录
前言:简介
一、什么是.FARGO3勒索病毒?
二、中了.FARGO3后缀勒索病毒文件怎么恢复?
三、恢复案例介绍:
四、系统安全防护措施建议:
前言:简介
近日, 我们收到有企业受到 .FARGO3勒索病毒的加密攻击求助。该病毒主要针对企业的Web应用和数据库服务器发起攻击,攻击者一直在使用 FARGO 勒索软件(也称为 Mallox 和 TargetCompany)攻击易受攻击的Microsoft SQL 服务器. FARGO 勒索软件感染始于使用 cmd.exe 和 powershell.exe 下载 .NET 文件,这有助于额外的恶意软件和储物柜检索,以及生成和执行负责进程和服务终止的 BAT 文件。当恶意软件执行恢复停用命令时,FARGO 勒索软件并未加密关键软件和目录,包括 Microsoft Windows 系统目录、Tor 浏览器、Internet Explorer、启动文件、调试日志文件和缩略图数据库,以及用户自定义和设置。然后使用“.Fargo3”重命名所有加密文件。
之前短短1个月时间,这个病毒就升级了4代,从FARGO到FARGO2到FARGO3直到FARGO4,最后该勒索病毒组织选择持续使用.FARGO3后缀,让我们来看看这个后缀的入侵与加密的方式。
如果不幸感染了这个勒索病毒,您可添加我们的数据恢复服务号(shujuxf)免费咨询获取数据恢复的相关帮助。
一、什么是.FARGO3勒索病毒?
我们发现,.FARGO3是近期比较流行的勒索软件之一,主要针对 Microsoft SQL 服务器。勒索软件感染首先使用 powershell.exe 和 cmd.exe 将 .NET 文件下载到受感染的机器上。在有效负载获取其他恶意软件后,.BAT 文件会终止某些进程和服务。为确保企业无法恢复其数据,FARGO 会在启动加密之前执行恢复停用命令并终止进程。 加密完成后,FARGO 使用“.Fargo3”扩展名重命名锁定的文件。
策略:初始访问和持久性
T1078 有效账户
.FARGO3攻击者使用通过暴力攻击获得的凭据获得对目标机器的初始访问权限。
战术:执行
T1059 命令和脚本解释器
初次访问后,.FARGO3攻击者会将其他恶意软件转移到受感染的网络。该恶意软件生成并执行 BAT 文件以关闭某些进程和服务。
vssadmin.exe 删除阴影 /all /quiet bcdedit /set {current} bootstatuspolicy ignoreallfailures bcdedit /set {current} recoveryenabled no
示例 1:用于禁止系统恢复的命令 [3]
fdhost.exe
msmdsrv.exe
oracle.exe
sqlwrite.exe
fdlauncher.exe
mysql.exe
ReportingServicesService.exe
MsDtsSrvr.exe
ntdbsmgr.exe
sqlserv.exe
表 3:.FARGO3攻击者关闭的进程和服务列表
策略:权限提升
T1134 访问令牌操作
FARGO组使用secedit.exe为其进程分配“ SeDebugPrivilege ”和“ SeTakeOwnershipPrivilege ”。此方法通常用于提升已分配进程的权限。
战术:防御规避
T1055 工艺注入
.FARGO3勒索病毒通过进程注入到已运行的名为AppLaunch.exe的进程中执行。
T1112 修改注册表
.FARGO3勒索病毒删除了流行的勒索软件保护工具 Raccine 的注册表项。
T1562.001 削弱防御:禁用或修改工具
.FARGO3勒索病毒删除以下注册表项以禁止使用vssadmin.exe、wmic.exe、wbadmin.exe、bcdedit.exe、powershell.exe、diskshadow.exe、net.exe和taskkil.exe。
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ vssadmin.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ wmic.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ wbadmin.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ bcdedit.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ powershell.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
映像文件执行选项\ diskshadow.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ net.exe "
HKEY_LOCAL MACHINE "SOFTWARE\Microsoft\Windows NT\CurrentVersion\\
图像文件执行选项\ taskkill.exe "
策略:凭据访问
T1110蛮力
.FARGO3勒索病毒组织通过暴力破解和字典攻击以数据库服务器为目标,以获取管理不善的帐户凭据。
战术:影响
T1486 数据加密影响
.FARGO3勒索病毒使用混合加密方法,通过 ChaCha20、AES-128 和 Curve25519 算法加密文件。加密后,加密文件会附加扩展名,例如 .Fargo、.Fargo2、Fargo3。
T1490 抑制系统恢复
.FARGO3勒索病毒会删除卷影副本和其他恢复功能,以防止受害者恢复被盗和加密的文件。
.FARGO3勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
二、中了.FARGO3后缀勒索病毒文件怎么恢复?
此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(shujuxf)进行免费咨询获取数据恢复的相关帮助。
三、恢复案例介绍:
1. 被加密数据情况
一台服务器,被加密的文件有数千个,主要是恢复业务数据库文件。
2. 数据恢复完成情况
数据完成恢复,客户所需的全部文件均已成功恢复,恢复率等于100%。
四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
.FARGO3后缀病毒勒索信RECOVERY FILES.txt说明文件内容:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
Do not rename, do not use third-party software or the data will be permanently damaged
CONTACT US:
mallox@stealthypost.net
If first email will not reply in 24 hours then contact with reserve address:
recohelper@cock.li
YOUR PERSONAL ID:
与该病毒同类的后缀病毒还有以下各种后缀,都是同一个病毒家族的:
.devicZz勒索病毒
.consultransom勒索病毒
.mallox勒索病毒
.bozon勒索病毒
.consultraskey-F-XXXXXX
.consultraskey-R-XXXXXX
.consultraskey-G-XXXXXX
.consultraskey勒索病毒
.elmorenolan29勒索病毒
.bozon3勒索病毒
.FARGO勒索病毒
.FARGO勒索病毒
.FARGO2勒索病毒
.FARGO3勒索病毒
.FARGO4勒索病毒
