公司新闻

FALCON NEWS

【Sodinokibi】勒索病毒新变种来袭! 做好措施即可轻松防范

2020-04-20 来源:猎鹰安全

一、事件报告

 

        近日,金山安全病毒实验室发现了一组病毒样本,经分析该病毒样本为勒索者病毒Sodinokibi家族的新变种。

 

 

二、攻击方式

 

        该病毒会写入启动项k51299BQXH,开机加载,加密后自我删除;我们发现,该病毒同时存在攻击内部网络(通过RDP爆破),传播病毒的行为(勒索样本本体,不会自动传播)。

 

通过分析系统日志发现:

 

 

 

这台电脑从2020/4/4 星期六 下午 18:17:05开始就被大量的枚举破解登录。

 

使用账户名ADMINISTRATOR、ADMIN等弱口令开始尝试登录。

 

 

 

        这一电脑是被入侵后投毒,因杀毒产品没有设置权限、没有设置密码,被使用processhacker.exe等工具结束了杀毒进程。

 

        我们发现,该病毒团伙创建了叫“PerfLogs”文件夹。此外,有信息表明,该病毒还可能创建了一个“intel”文件夹用于保存病毒文件及黑客工具。

 

e411cd5cc1f6b994dfa9d0dffc080bcde411cd5cc1f6b994dfa9d0dffc080bcd/p6.png" />

 

        我们判断,无论创建何种文件夹,攻击痕迹均有相似之处,疑似为同一伙黑客团体分工,不同地区、不同区域连续作案。

 

三、金山安全解决方案

 

        此Sodinokibi加密样本金山企业安全在2020-03-25号就已经入库,是可以查杀的。

 

 

 

 

安全解决方案:

 

1、及时升级杀毒软件到最新,内网用户做好云转查。

 

2、及时给电脑打补丁,修复高危漏洞。

 

3、及时修补MySQL、Oracle Weblogic Server、Apache Struts2等服务组件漏洞。

 

4、对重要的数据文件定期进行非本地备份。

 

5、不要点击来源不明的邮件附件,不从不明网站下载软件。

 

6、尽量关闭不必要的文件共享权限。

 

7、定期更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

 

注意:远程登录电脑或者服务器的时候,不要记住密码,否则很容易保存到本地的密码被抓取到。

 

8、如果业务上无需使用,请关闭不必要端口,如:445、135、139、3389等。

 

9、如果必须要使用远程桌面,请修改默认的3389端口。

 

10、系统中心统一开启防勒索加固,设置中心→终端设置→Windows→增强设置→启用反勒索加密

 

 

客户端的任务管理器中有ksservice.exe进程才算开启成功。

 

 

开启勒索防御之后,未知的勒索也会被拦截。

 

 

11、设置客户端的权限和密码防止被黑客工具退出。

 


媒体联系人:

猎鹰安全

media@ejinshan.net