2017年WannaCry、Petya����、Bad Rabbit等勒索病毒的陰霾尚未完全消散,春節(jié)假期剛過�,國內(nèi)便再次發(fā)生多起勒索病毒攻擊事件。經(jīng)騰訊企業(yè)安全分析發(fā)現(xiàn)���,此次出現(xiàn)的勒索病毒正是GlobeImposter家族的變種,該勒索病毒將加密后的文件重命名為.GOTHAM����、.Techno、.DOC����、.CHAK、.FREEMAN����、.TRUE、.TECHNO等擴展名�,并通過郵件來告知受害者付款方式,使其獲利更加容易方便。
目前���,騰訊企業(yè)安全已實時防御該勒索病毒�,并建議各大企業(yè)用戶使用騰訊企業(yè)安全“御點”防御此類攻擊�����。同時�����,普通用戶開啟騰訊電腦管家“文檔守護者”功能備份重要文檔���,可防御大部分勒索病毒攻擊���。
此次爆發(fā)的GlobeImposter家族勒索病毒變種�����,主要以國內(nèi)公共機構(gòu)服務(wù)器作為攻擊對象��。據(jù)騰訊企業(yè)安全技術(shù)專家指出���,從捕獲的傳播樣本來看���,其惡意代碼框架和流程是一致的����,唯一不同的就是加密文件的后綴名和攻擊者的郵箱地址信息�����。惡意代碼樣本為了防止被輕易地分析���,加密了大多數(shù)字符串和一部分API��,而加密后的文件后綴將會重命名為.TRUE等�。
(病毒程序?qū)⒓用芎蟮奈募孛麨楹缶Y名為.TRUE的文件)
勒索軟件在加密文件的同時��,會創(chuàng)建勒索信息文件�,引導(dǎo)受害者通過郵件與勒索者進行聯(lián)系,要求受害者將一個加密的圖片或文檔發(fā)送到指定的郵箱進行付費解密�。
基于此次病毒樣本的分析及研究不難發(fā)現(xiàn),如今勒索病毒的隱蔽性與傳播效率正逐步提升��,用戶一旦中招更可能造成不可估量的嚴重后果����。企業(yè)及個人用戶在防御勒索病毒時應(yīng)更加側(cè)重事前預(yù)防�,不給不法黑客可乘之機���。
騰訊企業(yè)安全技術(shù)專家表示����,企業(yè)及個人用戶日常應(yīng)養(yǎng)成良好的電腦使用習(xí)慣�,加強網(wǎng)絡(luò)安全防范意識:盡量關(guān)閉不必要的端口、不必要的文件共享�����,禁用對共享文件夾的匿名訪問;采用高強度的密碼�����,并且強制要求每個服務(wù)器使用不同密碼管理;對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制���,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進一步攻擊其他服務(wù)器;在終端/服務(wù)器部署騰訊云等具備專業(yè)安全防護能力的云服務(wù),可有效防御病毒入侵����。
對于企業(yè)用戶來說,在緊急情況下,應(yīng)立即組織內(nèi)網(wǎng)檢測��,查找所有開放445等服務(wù)端口的終端和服務(wù)器����,一旦發(fā)現(xiàn)電腦中毒,立即斷網(wǎng);要求所有員工按照日常防范步驟�,檢查和落實漏洞修復(fù)等安全措施;嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備��,同時盡快備份電腦中的重要文件和數(shù)據(jù)資料���。
如今�,網(wǎng)絡(luò)安全已逐漸成為企業(yè)發(fā)展的重要基礎(chǔ)建設(shè)之一����,企業(yè)有必要建立一套定制化的網(wǎng)絡(luò)防御方案,切實提升網(wǎng)絡(luò)安全防御能力���。騰訊企業(yè)安全相關(guān)負責(zé)人表示�����,在對抗病毒����、漏洞攻擊活動方面,騰訊“御點”依托騰訊19年的安全經(jīng)驗積累��,可有效防御企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊�。此外,普通用戶也應(yīng)及時安裝操作系統(tǒng)漏洞補丁���,安全備份重要數(shù)據(jù)及文件��,以免遭到勒索病毒破壞���。
企業(yè)內(nèi)網(wǎng)管理員可以參考騰訊企業(yè)安全官網(wǎng)的《主機安全自檢指南》和《Windows Server安全加固指南》進行相關(guān)處理。
