色影音先锋日韩另类精品_?无码免费在线观看_国产一级在线高清_黄色永久网站_久久国产精品2020免费m3u8_大菠萝福建导航导入网站花季传媒4iOS_黄色毛片一级分享的内容是很丰富的_私人家庭影院5533_日韩午夜福利视频_国产资源高清无码在线

文章
  • 文章
搜索
首頁 >> 新聞動(dòng)態(tài) >>行業(yè)動(dòng)態(tài) >> 新型勒索病毒Attention感染醫(yī)療與半導(dǎo)伙伴體行業(yè)
详细内容

新型勒索病毒Attention感染醫(yī)療與半導(dǎo)伙伴體行業(yè)

时间:2022-06-08     【转载】

近日,一種全新的勒索病毒正在活躍,攻擊者針對(duì)制造行業(yè)、醫(yī)療行業(yè)等目標(biāo),

通過社會(huì)工程、RDP遠(yuǎn)程爆破等方式手動(dòng)投放勒索病毒,且進(jìn)行加密后會(huì)人工刪除勒索病毒體和入侵日志。


該勒索病毒加密后會(huì)修改文件后綴為大寫的隨機(jī)[10-12]個(gè)英文字母,

并釋放勒索信息文件,運(yùn)行后會(huì)進(jìn)行自復(fù)制,但通常情況下復(fù)制體會(huì)被攻擊者手動(dòng)刪除。

該勒索病毒被命名為Attention勒索病毒。

截止目前,已有多個(gè)省份出現(xiàn)感染案例,該勒索病毒暫時(shí)無法解密,嚴(yán)重危害業(yè)務(wù)安全,建議提高警惕,及時(shí)防范。

病毒名稱:Attention勒索病毒

病毒性質(zhì):勒索病毒

影響范圍:目前多省份出現(xiàn)感染案例,包括醫(yī)療、半導(dǎo)體行業(yè)用戶

危害等級(jí):高危

傳播方式:社會(huì)工程、RDP遠(yuǎn)程爆破等方式


勒索特征

1.勒索信息文件YOUR FILES ARE ENCRYPTED.TXT,如下所示:


2.加密后的文件后綴為大寫字母的隨機(jī)[10-12]個(gè)英文字母,前三個(gè)字母相同,如下所示:


樣本詳細(xì)分析

1.首先,在%temp%目錄下生成隨機(jī)的文件B3A9A362.ghost,將00寫入到文件中,如下所示:


2.然后拷貝自身到

C:\Users\panda\AppData\Roaming\Microsoft\Windows目錄下ctfmon.exe(偽裝成為系統(tǒng)文件ctfmon.exe),如下:



3.通過ShellExecute調(diào)用拷貝的ctfmon.exe程序,運(yùn)行勒索程序:



4.自刪除原文件,調(diào)用的參數(shù)形如:

"/c for /l %x in (1,1,666) do ( ping -n 3 127.1 & del "C:\Users\panda\Desktop\Ransomware1.exe" & if not exist "C:\Users\panda\Desktop\Ransomware1.exe" exit )"

5.生成勒索密鑰相關(guān)信息,然后將密鑰信息保存到注冊(cè)表

HKEY_CURRENT_USER\Software\Ghost\Service中,如下所示:


6.遍歷網(wǎng)絡(luò)共享目錄,遍歷磁盤及文件目錄:



7.加密文件,先讀取文件內(nèi)容,然后進(jìn)行加密操作:



加密后的文件后綴名為隨機(jī)的[10-12]個(gè)英文字母。


解決方案

針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時(shí)沒有解密工具,建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。眾志天成提醒廣大用戶盡快做好病毒檢測(cè)與防御措施,防范該病毒家族的勒索攻擊。

病毒檢測(cè)查殺:

1.EDR產(chǎn)品、下一代防火墻及安全感知平臺(tái)等安全產(chǎn)品均具備病毒檢測(cè)能力,部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測(cè),如圖所示:



2.通過查殺工具進(jìn)行查殺,可下載如下工具,進(jìn)行檢測(cè)查殺。

64位系統(tǒng)下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御:

眾志天成安全團(tuán)隊(duì)再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:


1.及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。

2.對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3.不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4.盡量關(guān)閉不必要的文件共享權(quán)限。

5.更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。

6.如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí),推薦使用下一代防火墻,或者終端檢測(cè)響應(yīng)平臺(tái)(EDR)的微隔離功能對(duì)3389等端口進(jìn)行封堵,防止擴(kuò)散!

7.下一代防火墻、終端檢測(cè)響應(yīng)平臺(tái)(EDR)均有防爆破功能,下一代防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進(jìn)行防御。

8.下一代防火墻用戶,建議升級(jí)到AF805版本,并開啟SAVE安全智能檢測(cè)引擎,以達(dá)到最好的防御效果。


最后,建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。


掃一掃添加微信

Copyright @ 2021 . 深圳市眾為技術(shù)科技有限公司  All rights reserved.   粵ICP備2022005343號(hào)-1

聯(lián)系我們

電話:0755-23769470

          181 2477 3036(王先生)

          130 0544 5008(劉先生)
QQ:1258340901
郵箱:alex.wangyake@zonwer.cn
址:深圳市龍華區(qū)民治大道華星大廈506室

  • 电话直呼

    • 0755-23769470
    • 18124773036
    • 13005445008
    • 王先生 :
  • 掃一掃添加微信咨詢

seo seo