01
概况
近日,美创安全实验室监测到Crysis勒索病毒国内感染量有明显上升,已监测到较多行业、企业、政府机构用户受害。该病毒主要通过RDP弱口令爆破传播入侵,加密重要数据。加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例如:“id-BE.[bigmacbig
cock.li].beets”。02
病毒情况
美创安全实验室第一时间拿到相关病毒样本,经virustotal检测,确认为Crysis勒索病毒。Crysis在执行加密时,采用的是RSA+salsa20算法加密电脑上的重要文件。加密后,影响用户关键业务运行,且暂时无法解密。
早在年,Crysis勒索病毒就开始进行勒索活动。今年2月,其家族衍生Phobos系列变种开始逐渐活跃,不仅使用弱口令爆破进行挖矿,而且还利用“永恒之蓝”等多个服务器组件漏洞发起攻击,短时间在内网即可完成横向扩张。自今年8月以来,以Crysis为代表的勒索病毒再度猖獗,并且将目标锁定企事业单位和政府机构,影响力和破坏性显著增强。攻击者还是利用老办法——弱口令,对一些安全意识薄弱的企业服务器进行爆破攻击,极易引发企业内服务器的大面积感染,进而造成业务系统瘫痪、关键业务信息泄露。
03
详细信息
经过分析发现,病毒运行后首先删除文件的卷影副本。接着,采用高强度的RSA+salsa20算法对存储在计算机上的所有文件进行加密。并在桌面上留下勒索信息文件,提示受害者如何缴纳赎金获取解密工具,文件信息如下:
04
防护措施
美创安全实验室再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:
(1)及时给电脑打补丁,修复漏洞。
(2)对重要的数据文件定期进行非本地备份。
(3)不要点击来源不明的邮件附件,不从不明网站下载软件。
(4)RDP远程服务器等连接尽量使用高强度且无规律的密码,不要使用弱密码。
(5)尽量关闭不必要的文件共享。
(6)尽量关闭不必要的端口。
以上为防护勒索病毒的常规方式,为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加了“ID+邮箱+指定后缀”格式的扩展后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。
关于美创
杭州美创科技有限公司,敏感数据保护和数据安全领域的拓荒者和领导者,由国内多名数据库资深专家携手于年成立,产品及服务覆盖数据安全、数据管理、容灾备份、智能运维等四大领域,广泛应用于医疗、教育、金融、政府、人社、电力能源、物流交通、企业等众多行业。多年来,凭借卓越的技术创新与良好的用户口碑,美创多次入围全国网络安全50强,并参与多项国家及行业标准的编写,引领数据安全领域的规范发展。目前,美创科技已全面推动全国市场化发展战略,相继在北京、广州、武汉、南京、成都、上海等地设立分公司,致力于为更多的客户提供专业的安全解决方案。
想体验美创诺亚防勒索
点击“阅读原文”,提交试用申请
预览时标签不可点收录于话题#个上一篇下一篇转载请注明:http://www.wangguoqiangq.com/sglbmj/7696.html
