Buran勒索病毒通过RDP爆破感染用户

2020年1月3日,国内信息网络安全公司360报道，近期监测到Buran勒索病毒。据了解，该病毒是从去年八月开始进入我国，起初是以邮件形式进行传播，且主要于国外活动。近日，该勒索病毒传播形式转为通过RDP爆破拿到远程桌面密码后手动投毒，感染量不断上升，对用户电脑及财产安全造成极大威胁。 安全专家分析发现，该病毒在启动后可根据不同参数，执行不同的动作。主要针对无参数、参数为-start和参数为-agent三种情况，在无参数时，Buran勒索病毒将自身复制到指定目录并设置自启动，以参数-start重启新目录下病毒文件，删除当前执行目录下病毒文件并退出。 在参数为-start时，Buran勒索病毒会为当前用户生成一对RSA公私钥和病毒自定义MachineID，并使用RC4算法加密后拼接RC4加密密钥再写入到注册表中，删除卷影副卷、禁用系统开机自动修复、清空注册表RDP连接记录、禁用系统日志记录、清空日志记录。在遍历磁盘后，将盘符写入到注册表中，用参数-agent为每个盘符创建一个buran进程（如-agent 0对应C盘）。 在参数为-agent时，Buran勒索病毒对文件进行加密，并在加密文件时自行避过系统、程序、用户和浏览器等程序运行相关的目录，以免加密后系统和浏览器无法运行而使用户难以支付赎金。