一、情况概述

阖家团聚的春节假期刚过，在大家正纷纷整理假期心情以饱满的精神迎接复工的日子里，360安全智脑也检测和接收到一批春节期间受到勒索攻击的集中反馈。经分析，春节期间的这波勒索攻击大多为一款名为LvtLocker的勒索软件所为，而该勒索软件的攻击目标主要是国内某知名的NAS设备系统。

二、入侵方式

通过对360的大数据分析研判，发现此次勒索软件入侵事件主要是通过两种途径进入到受害用户的NAS设备中：

1. 利用该NAS设备系统中存在的一些RCE漏洞，比如下面一些漏洞，允许未经身份验证的用户获取root权限：

· CVE-2020-28188

· CVE-2022-24989

· CVE-2022-24990

2. 直接通过弱口令暴力破解，之后登录投毒。

三、样本分析

LvtLocker勒索软件本体

LvtLocker属于Babuk勒索软件的变种。与目前主流的其它勒索软件家族类似，LvtLocker勒索软件同样是在代码中，内置了一套用于加密数据的RSA公钥（与之对应用于解密的私钥则在作者手中）。在软件开始运行后，会在受害者机器中利用ECC算法生成一对密钥，并利用这套内置的RSA公钥对本地生成的ECC私钥进行加密。

在完成密钥的初始化操作后，软件会判断当前的运行权限是否为root账户。若是则将其实加密路径视之为系统根目录。

不过勒索软件还是对一些系统关键目录进行了规避，如：/proc、/boot、/sys、/run、/dev等目录。


而在核心的文件加密部分，勒索软件会首先生成一个ChaCha20的流密钥。

随后，自然也是调用ChaCha20对称加密算法对文件进行加密，用对称加密算法来对文件实施加密属于目前主流勒索软件的“惯例”，这样做主要是为了保证加密的效率。

在加密操作执行完成后，勒索软件会在被加密的文件后附加.lvt的扩展名用于标记其已被加密。

此外，勒索软件会释放勒索信文件README_lvt.txt与受害者识别id文件README_lvt_PersonalKey.txt。这两个文件的内容完全一致。

根据捕获到的勒索软件样本看，当前版本的LvtLocker索要的赎金金额为0.01个比特币（当前价格约为3700元人民币）。

SSH Agent工具

在捕获到的样本中，除了勒索软件主体程序外，还有一个SSH代理工具。该样本本身并不会执行加密操作，但会在运行后搜集当前设备的基本信息并以HTTP请求的形式发送至远端服务器用于记录。接收用户信息的URL如下：
hxxp://80.92.205.181/jquery.js
目前该URL处于404状态。

IOC
MD5
349dd0a75d5cebe1d3ffd620bca4ff7f
e30a5d6336f7180479270369472d653e
IP & URL (Network)
80.92.205.181
download.linuxenc.top

四、安全建议

本轮攻击主要针对NAS类设备，也提醒大家，在使用各类网络设备时，不可掉以轻心，同样应该做好网络防护，以防设备被黑客攻击，造成数据泄露和数据丢失。
我们给出如下几点建议：

1. 及时更新NAS系统的安全补丁。
2. 为NAS设备设置强度较高的登录口令（长口令+大小写字母+数字+符号）。
3. 定期更换NAS登录口令。
4. 若系统允许，应禁用root账户（或admin等系统默认管理员账户）登录。
5. 善用系统内置的防火墙功能，对频繁尝试登录失败的IP执行自动封禁。
6. 减少并停用非必要的对外服务，关闭相应的端口。

风险消减措施：
资产梳理排查目标:根据实际情况，对内外网资产进行分时期排查
服务方式:调研访谈、现场勘查、工具扫描
服务关键内容：流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查

安全设备调优：
目标
通过对安全现状的梳理和分析，识别安全策略上的不足，结合目标防御、权限最小化、缩小攻击面等一系列参考原则，对设备的相关配置策略进行改进调优，一方面，减低无效或低效规则的出现频次；另一方面，对缺失或遗漏的规则进行补充，实现将安全设备防护能力最优化。

主要目标设备：
网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。
全员安全意识增强调优：
目标：
通过网络安全意识宣贯、培训提升全方位安全能力
形式：
培训及宣贯

线下培训课表
若无法组织线下的集体培训，考虑两种方式:
1.提供相关的安全意识培训材料，由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。

线上学习平台

五、团队介绍

团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS（信息技术服务运行维护标准四级）等认证，已构建了网络安全行业合格的资质体系；

六、我们的数据恢复服务流程

多年的数据恢复处理经验，在不断对客户服务优化的过程中搭建了"免费售前+安心保障+专业恢复+安全防御"一体化的专业服务流程。
① 免费咨询/数据诊断分析
       专业的售前技术顾问服务，免费在线咨询，可第一时间获取数据中毒后的正确处理措施，防范勒索病毒在内网进一步扩散或二次执行，避免错误操作导致数据无法恢复。
       售前技术顾问沟通了解客户的机器中毒相关信息，结合团队数据恢复案例库的相同案例进行分析评估，初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
       您获取售前顾问的初步诊断评估信息后，若同意进行进一步深入的数据恢复诊断，我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
       专业数据恢复工程师根据数据检测分析结果，定制数据恢复方案（恢复价格/恢复率/恢复工期），并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
       您清楚了解数据恢复方案后，您可自主选择以下下单方式：
双方签署对公合同：根据中毒数据分析情况，量身定制输出数据恢复合同，合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款，双方合同签订，正式进入数据恢复专业施工阶段，数据恢复后进行验证确认，数据验证无误，交易完成。
④ 开始数据恢复专业施工
      安排专业数据恢复工程师团队全程服务，告知客户数据恢复过程注意事项及相关方案措施，并可根据客户需求及数据情况，可选择上门恢复/远程恢复。
      数据恢复过程中，团队随时向您报告数据恢复每一个节点工作进展（数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认）。
⑤ 数据验收/安全防御方案
      完成数据恢复后，我司将安排数据分析工程师进行二次检查确认数据恢复完整性，充分保障客户的数据恢复权益，二次检测确认后，通知客户进行数据验证。
      客户对数据进行数据验证完成后，我司将指导后续相关注意事项及安全防范措施，并可提供专业的企业安全防范建设方案及安全顾问服务，抵御勒索病毒再次入侵。

   我们在此郑重承诺：

不成功不收费

全程一对一服务

365天不间断服务

免费提供安全方案

  24h服务热线：

18894665383

17864099776

18299173318

七、文章来源

360互联网安全中心
https://zhuanlan.zhihu.com/p/683348428?open_in_browser=true