针对新型SWIFT勒索病毒的详细分析报告
字数 1686 2025-08-06 00:52:37

SWIFT勒索病毒分析与防御指南

一、SWIFT勒索病毒概述

SWIFT是一种新型勒索病毒,首次发现于2024年2月,具有典型的勒索病毒特征,通过加密用户文件并勒索赎金来获取经济利益。

主要特征

  • 编译时间:2024年2月15日
  • 加密算法:AES+ECC混合加密
  • 目标系统:Windows操作系统
  • 传播方式:尚未明确,可能通过钓鱼邮件、漏洞利用或恶意下载
  • 赎金支付:通过数字货币(具体类型未明确)

二、技术分析

1. 初始检查与权限验证

  • 语言检查:检测操作系统语言ID(0x429对应特定语言),匹配则退出
  • 权限验证:检查是否以管理员/ROOT权限运行
  • 互斥体创建:防止多实例运行

2. 系统准备阶段

  • 注册表操作
    • 设置HKEY_CURRENT_USER\Software\Proton\public
    • 设置HKEY_CURRENT_USER\Software\Proton\full
  • 系统破坏
    • 清理回收站内容
    • 执行以下破坏性命令: 
      vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
wmic SHADOWCOPY /nointeractive
    • 目的:删除卷影副本,禁用系统修复功能

3. 持久化机制

  • 自启动:将自身拷贝到系统启动目录,命名为[ID].exe
  • ID生成:每个受害者有唯一ID,用于标识和追踪

4. 进程与服务终止

  • 解密并遍历预定义的进程列表,终止关键进程
  • 解密并遍历预定义的服务列表,停止关键服务
  • 目的:解除文件锁定,便于加密操作

5. 文件加密过程

  1. 文件遍历:遍历系统磁盘和网络共享目录
  2. 加密策略
    • 文件大小 < 0x96000 (约600KB):全文件加密
    • 文件大小 ≥ 0x96000:分块加密(每块0x2000/8KB)
  3. 加密算法:AES+ECC混合加密
  4. 文件重命名:使用MoveFileW函数,附加特定后缀
    • 加密后缀格式:[swift_1@tutamail.com].SWIFT

6. 勒索信息展示

  • 创建勒索提示文件#SWIFT-Help.txt
  • 修改桌面背景为勒索信息
  • C:\ProgramData下生成[ID].bmp背景图片
  • 注册表写入勒索信息
  • 自动打开勒索提示文件

三、威胁情报

联系信息

  • 勒索邮箱:swift_1@tutamail.com
  • 备用邮箱:未明确,但样本中包含备用邮箱字段

攻击特征

  • 高度模块化,流程清晰
  • 具备典型勒索病毒的所有功能组件
  • 可能由专业黑客组织开发

四、防御与缓解措施

预防措施

  1. 备份策略

    • 实施3-2-1备份规则(3份备份,2种介质,1份离线)
    • 确保备份不受勒索病毒影响(如只读挂载)

  2. 系统加固

    • 限制管理员权限使用
    • 禁用不必要的服务
    • 定期更新系统和应用补丁

  3. 安全配置

    • 禁用WMI和vssadmin的非常规使用
    • 通过组策略限制关键命令的执行

  4. 邮件安全

    • 实施邮件过滤,警惕可疑附件
    • 培训员工识别钓鱼邮件

检测措施

  1. 监控点

    • 异常注册表修改(特别是Proton项)
    • 大量文件重命名操作
    • 可疑的进程终止行为

  2. 工具部署

    • EDR/XDR解决方案
    • 文件完整性监控
    • 异常网络连接检测

应急响应

  1. 隔离:立即断开受感染系统网络
  2. 取证
    • 收集内存转储
    • 保留加密样本和勒索信息
  3. 恢复
    • 从干净备份还原
    • 如无备份,可尝试专业数据恢复服务
  4. 报告:向当地执法机关和网络安全机构报告

五、技术对抗建议

1. 针对加密过程

  • 部署实时文件监控,拦截异常加密行为
  • 使用具有勒索防护功能的安全软件

2. 针对持久化

  • 监控自启动目录变更
  • 审计计划任务和服务创建

3. 针对命令执行

  • 记录和告警关键破坏性命令的执行
  • 实施命令白名单机制

六、总结与展望

SWIFT勒索病毒代表了新一代勒索软件的趋势:

  1. 技术层面

    • 采用混合加密(AES+ECC)提高破解难度
    • 模块化设计便于变种开发
    • 完善的系统破坏机制

  2. 运营层面

    • 专业化的开发团队
    • 可能的地下产业链支持
    • 国际化的攻击目标

未来防御方向:

  • 加强威胁情报共享
  • 发展基于行为的检测技术
  • 推动国际执法合作
  • 提高全行业安全意识

勒索病毒防御是持续的过程,需要技术、管理和法律的多维应对。建议组织定期评估自身防御体系,开展红蓝对抗演练,提升整体安全水位。

SWIFT勒索病毒分析与防御指南 一、SWIFT勒索病毒概述 SWIFT是一种新型勒索病毒,首次发现于2024年2月,具有典型的勒索病毒特征,通过加密用户文件并勒索赎金来获取经济利益。 主要特征 编译时间:2024年2月15日 加密算法:AES+ECC混合加密 目标系统:Windows操作系统 传播方式:尚未明确,可能通过钓鱼邮件、漏洞利用或恶意下载 赎金支付:通过数字货币(具体类型未明确) 二、技术分析 1. 初始检查与权限验证 语言检查 :检测操作系统语言ID(0x429对应特定语言),匹配则退出 权限验证 :检查是否以管理员/ROOT权限运行 互斥体创建 :防止多实例运行 2. 系统准备阶段 注册表操作 : 设置 HKEY_CURRENT_USER\Software\Proton\public 设置 HKEY_CURRENT_USER\Software\Proton\full 系统破坏 : 清理回收站内容 执行以下破坏性命令: 目的:删除卷影副本,禁用系统修复功能 3. 持久化机制 自启动:将自身拷贝到系统启动目录,命名为 [ID].exe ID生成:每个受害者有唯一ID,用于标识和追踪 4. 进程与服务终止 解密并遍历预定义的进程列表,终止关键进程 解密并遍历预定义的服务列表,停止关键服务 目的:解除文件锁定,便于加密操作 5. 文件加密过程 文件遍历 :遍历系统磁盘和网络共享目录 加密策略 : 文件大小 < 0x96000 (约600KB):全文件加密 文件大小 ≥ 0x96000:分块加密(每块0x2000/8KB) 加密算法 :AES+ECC混合加密 文件重命名 :使用 MoveFileW 函数,附加特定后缀 加密后缀格式: [swift_1@tutamail.com].SWIFT 6. 勒索信息展示 创建勒索提示文件 #SWIFT-Help.txt 修改桌面背景为勒索信息 在 C:\ProgramData 下生成 [ID].bmp 背景图片 注册表写入勒索信息 自动打开勒索提示文件 三、威胁情报 联系信息 勒索邮箱:swift_ 1@tutamail.com 备用邮箱:未明确,但样本中包含备用邮箱字段 攻击特征 高度模块化,流程清晰 具备典型勒索病毒的所有功能组件 可能由专业黑客组织开发 四、防御与缓解措施 预防措施 备份策略 : 实施3-2-1备份规则(3份备份,2种介质,1份离线) 确保备份不受勒索病毒影响(如只读挂载) 系统加固 : 限制管理员权限使用 禁用不必要的服务 定期更新系统和应用补丁 安全配置 : 禁用WMI和vssadmin的非常规使用 通过组策略限制关键命令的执行 邮件安全 : 实施邮件过滤,警惕可疑附件 培训员工识别钓鱼邮件 检测措施 监控点 : 异常注册表修改(特别是Proton项) 大量文件重命名操作 可疑的进程终止行为 工具部署 : EDR/XDR解决方案 文件完整性监控 异常网络连接检测 应急响应 隔离 :立即断开受感染系统网络 取证 : 收集内存转储 保留加密样本和勒索信息 恢复 : 从干净备份还原 如无备份,可尝试专业数据恢复服务 报告 :向当地执法机关和网络安全机构报告 五、技术对抗建议 1. 针对加密过程 部署实时文件监控,拦截异常加密行为 使用具有勒索防护功能的安全软件 2. 针对持久化 监控自启动目录变更 审计计划任务和服务创建 3. 针对命令执行 记录和告警关键破坏性命令的执行 实施命令白名单机制 六、总结与展望 SWIFT勒索病毒代表了新一代勒索软件的趋势: 技术层面 : 采用混合加密(AES+ECC)提高破解难度 模块化设计便于变种开发 完善的系统破坏机制 运营层面 : 专业化的开发团队 可能的地下产业链支持 国际化的攻击目标 未来防御方向: 加强威胁情报共享 发展基于行为的检测技术 推动国际执法合作 提高全行业安全意识 勒索病毒防御是持续的过程,需要技术、管理和法律的多维应对。建议组织定期评估自身防御体系,开展红蓝对抗演练,提升整体安全水位。