网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


注意!新型勒索病毒又双叒叕来袭!

2019-08-12 15:32 推荐: 浏览: 42 views 字号:

摘要: 概    况 近日,美创安全实验室根据勒索病毒威胁情报,发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似。这款勒索病毒一旦渗...

概    况

近日,美创安全实验室根据勒索病毒威胁情报,发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似。这款勒索病毒一旦渗入系统,就会对存储在计算机上的所有文件进行加密,加密的后缀为五位随机字母或数字。

病毒情况

美创安全实验室第一时间拿到相关病毒样本进行分析,发现该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等方式传播。该病毒由于使用了RSA+Salsa20的加密方式。在无法拿到病毒作者手中私钥的常规情况下无法解密。

详细信息

该勒索病毒运行后,除了加密文件外,同时会进行删除源文件、修改系统配置、删除卷影副本、增加后缀名为随机字母数字等多种恶意行为,并在桌面上留下勒索信息文件,文件名:[加密后缀]_Entschluesselungs_Anleitung.html,内容为德语,提示受害者如何缴纳赎金获取解密工具,文件信息如下:

此外,这款勒索病毒会修改桌面的背景,如下所示:

防护措施

美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:

(1)及时给电脑打补丁,修复漏洞。

(2)对重要的数据文件定期进行非本地备份。

(3)不要点击来源不明的邮件附件,不从不明网站下载软件。

(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。

(5)尽量关闭不必要的文件共享。

(6)尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

以上为防护勒索病毒的常规方式,为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下:

在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加了随机字母或数字的后缀,并且无法正常打开。

开启诺亚防勒索的情况下:

双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下:

为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。

联系站长租广告位!

中国首席信息安全官


关闭


关闭