|
马上注册玉林红豆网会员,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
一、概述 [url=http:///www.xiazaigou.com]软件库[/url]的具体问题可以到我们网站了解一下,也有业内领域专业的客服为您解答问题,为成功合作打下一个良好的开端![align=center][/align]
讯安全威胁情报中心检测到ID为LXW的勒索病攻击者在国内活跃,攻击者疑通过弱口令爆破方式投递勒索病。不同以往的单一家族勒索攻击案例,经溯源后我们发现该攻击者同时携带2款勒索病样本,一款为C#编写的勒索模块,加密添加扩展后缀。另一款为D编写的S勒索模块,加密添加扩展后缀。两款病均法解密,重复加密更是增加了解密难度。讯安全专家提醒企业注意防范,可查杀拦截此病。
攻击者同时携带了内共享资源探测工具和进程对抗工具,在加密完成之后,还会清空系统日志,以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱LXW@购买解密工具。
在勒索病攻击加密范围不断扩大,加密方式越发变态的勒索攻击现状下,攻击者携带两款勒索模块可避免单一病易被安全策略拦截的风险。同时,攻击者存在重复使用2款勒索病对受害者文件进行重复加密的情况,进一步增加了文件解密恢复的难度,受害用户即使支付赎金也可能难以挽回损失。
二、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、15,19等,对89,5900等端口可进行白单配置,只允许白单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿访问。
、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器工作站内部访问设置相应控制,避免可连外服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用O宏代码。
个人用户:
1、启用,勿随意打开陌生邮件,关闭O执行宏代码。
2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备患。
、样本分析
讯安全威胁情报中心对受害电脑进行溯源分析,发现攻击者主要携带了以下5个功能模块,其中包含了2个勒索加密病,分别由C#和D编写。1个日志清理工具,1个进程管理工具,1个局域探测工具。
其中L为勒索模块,该模块由C#编写,运行后会探测局域内其它共享资源路径,同时获取本地磁盘分区根路径,以便后续对这些位置的资源进行加密。
病加密前会排除一些非系统数据类型格式的文件类型,添加AES加密扩展后缀。对文件内容的加密过程使用AES算法,AES密钥使用强随机的方式生成。
文件内容加密完成后,AES密钥信息则会使用硬编码的RSA 2048进一步进行加密,后存放于文件尾部,硬编码RSA公钥信息如下:
文件加密完成后被添加扩展后缀,留下勒索信要求联系指定邮箱LXW@购买解密工具。
同样是一个由D编写的勒索加密模块,运行后首先从内存中解压出大量要使用的勒索关键明文字串(硬编码公钥,加密后缀,勒索信等)信息,经分析研判确认为S勒索家族系列。
今年5月份,讯安全威胁情报中心发现国内S勒索家族19变种活跃,该家族同样使用较复杂的RSA+AES的加密流程,细节流程如下,该家族同样法解密。
详细分析报告可 |
|