公司新闻
一、事件报告
近日,金山安全病毒实验室发现了一组病毒样本,经分析该病毒样本为勒索者病毒Sodinokibi家族的新变种。
二、攻击方式
该病毒会写入启动项k51299BQXH,开机加载,加密后自我删除;我们发现,该病毒同时存在攻击内部网络(通过RDP爆破),传播病毒的行为(勒索样本本体,不会自动传播)。
通过分析系统日志发现:
这台电脑从2020/4/4 星期六 下午 18:17:05开始就被大量的枚举破解登录。
使用账户名ADMINISTRATOR、ADMIN等弱口令开始尝试登录。
这一电脑是被入侵后投毒,因杀毒产品没有设置权限、没有设置密码,被使用processhacker.exe等工具结束了杀毒进程。
我们发现,该病毒团伙创建了叫“PerfLogs”文件夹。此外,有信息表明,该病毒还可能创建了一个“intel”文件夹用于保存病毒文件及黑客工具。
e411cd5cc1f6b994dfa9d0dffc080bcde411cd5cc1f6b994dfa9d0dffc080bcd/p6.png" />
我们判断,无论创建何种文件夹,攻击痕迹均有相似之处,疑似为同一伙黑客团体分工,不同地区、不同区域连续作案。
三、金山安全解决方案
此Sodinokibi加密样本金山企业安全在2020-03-25号就已经入库,是可以查杀的。
安全解决方案:
1、及时升级杀毒软件到最新,内网用户做好云转查。
2、及时给电脑打补丁,修复高危漏洞。
3、及时修补MySQL、Oracle Weblogic Server、Apache Struts2等服务组件漏洞。
4、对重要的数据文件定期进行非本地备份。
5、不要点击来源不明的邮件附件,不从不明网站下载软件。
6、尽量关闭不必要的文件共享权限。
7、定期更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
注意:远程登录电脑或者服务器的时候,不要记住密码,否则很容易保存到本地的密码被抓取到。
8、如果业务上无需使用,请关闭不必要端口,如:445、135、139、3389等。
9、如果必须要使用远程桌面,请修改默认的3389端口。
10、系统中心统一开启防勒索加固,设置中心→终端设置→Windows→增强设置→启用反勒索加密
客户端的任务管理器中有ksservice.exe进程才算开启成功。
开启勒索防御之后,未知的勒索也会被拦截。
11、设置客户端的权限和密码防止被黑客工具退出。