黑客业务

       

警惕PyLocky勒索病毒通过垃圾邮件传播

2018年7-8今年上半年以来，勒索病毒持续活跃。此外，与7月相比，8月份勒索病毒的流通趋势进一步加强。            

   0x1 概况    

   

   2018年7-8今年上半年以来，勒索病毒持续活跃。此外，与7月相比，8月份勒索病毒的流通趋势进一步加强。

   

       

   

   从被勒索攻击的地区来看，主要有广东、江苏、北京、浙江等地。

   

       

   

   从7-8月勒索病毒家族漫衍，针对服务器攻击GlobeImposter和Crysis仍然是最活跃的勒索病毒家族。撒网水坑攻击仍然是GandCrab此外，腾讯智慧平安在7月份还发现了勒索病毒的主要传播方式GandCrab通过RDP远程入侵爆破案件。

   

       

   

   8月下旬以来，GlobeImposter勒索病毒迎来了新一轮的攻击。从端口爆破趋势来看，8月中下旬3389端口爆破也呈现出明显的上升趋势。

   

       

   

   0x2 勒索病毒细节    

   

   腾讯智能平安监测发现7-8新的勒索病毒出现在月亮时代，主要包括：

   

   1. Crysis新变种cmb和combo    

   

   两个变种加密文件将文件后缀改为.cmb和.combo，传播方式仍然通过RDP爆破，远程登录受害者机械。

   

       

   

   2. Locky勒索病毒    

   

   7月28日，新勒索病毒将文件后缀改为.locky。这让人想起曾经在世界各地肆意传播的事情Locky勒索病毒家族。但是这次捕获还没有发现。Locky勒索病毒与Locky勒索病毒家族是相关的，推测是Locky家庭追随者。

   

       

   

   3. Matrix勒索病毒变种ann    

   

   7月31日发现Matrix勒索病毒变种ann。变种加密文件后，后缀将改为.ANN，使用的联系邮箱是AskHelp@protonmail.com。

   

       

   

   4. Xiaoba变种XIAOBA 2.0 Ransomware    

   

   7月26日发现国产勒索病毒Xiaoba变种XIAOBA 2.0 Ransomware，加密文件后，将文件后缀改为.XIAOBA，勒索0.5比特币作为赎金。变种伪装成Flash安装包流传。

   

       

   

   5. 戏精勒索病毒Xorist    

   

   7月9日，发现戏精勒索病毒Xorist，加密文件后，将文件名添加149字符的后缀：

   

   .DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED，提醒黑客在24小时内支付赎金，否则文档数据将永远丢失。

   

       

   

   6. GandCrab勒索病毒    

   

   GandCrab勒索病毒，在7-8月也更新频繁。首先，7月初宣布GandCrab4，加密文件后，后缀修改为.krab。在流通渠道上，仍然主要是水坑攻击。

   

       

NSABuffMiner采矿木马占据校园服务器，非法获利115万元

   

   另外，加密算法也被取代了Salsa20，甚至在代码中嘲笑它Salsa20算法的发明者Daniel J. Bernstein。

   

       

   

   然则，在GandCrab在随后的版本中发现GandCrab在用户机械上释放一个lock空文件文件，文件名为内陆自然ID，例如6F36E2CB.lock。当GandCrab发现机器上有这个lock不加密文件。

   

       

   

       

   

   对此，外国平安厂商AhnLab公布了GandCrab勒索病毒免疫工具GandCrab4.1.2这个问题在随后的更新中得到了修复。GandCrab4.3勒索病毒作者加入了AhnLab拒绝服务攻击的平安软件代码。

   

       

   

       

   

   0x3 平安建议    

   

   个人用户：    

   

   1. 当文件使用时，不要点击来源不明的邮件附件docx（Word作为图标的文档)，是的EXE可执行文件时，显然是恶意程序伪装，不得打开。

   

   2. 不使用容易传播病毒的软件，如插件、破解补丁等。

   

   3. 保持腾讯电脑管家等安全软件的运行状态，实时修复系统缺陷，实时防范病毒风险。

   

       

   

   4. 建议使用文档守护者定期备份重要文件和数据(数据库等数据)。-【文档】-【文档守护者】，全心全意珍惜文档安全。

   

       

   

   对企业用户：    

   

   1. 只需关闭445、135、139等不必要的端口，就可以设置3389端口的白名单，只允许白名单中的白名单IP毗邻上岸。

   

   2. 关闭不必要的文件共享。如有必要，请使用ACL与强密码珍爱限制接见权，禁止匿名接见共享文件夹。

   

   3、 接受高强度密码，停止使用弱密码，并定期更换密码。建议服务器密码使用高强度和不规则的密码，并强制每个服务器使用不同的密码处理。

   

   4、 对没有互联需求的服务器/工作站内部接见设置响应控制，制止可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

   

   5、 定期非内陆备份重要文件和数据(数据库等数据)。

   

   6. 在终端/服务器部署专业的安全防护软件，Web服务器可以考虑部署在腾讯云等具有专业安全防护能力的云服务中。

   

   7.建议在全网安装皇家终端安全管理系统（https://s.tencent.com/product/yd/index.html）。皇家终端安全管理系统具有终端杀毒统一控制、修复缺陷统一控制、战略控制等综合安全管理效果，可以帮助企业管理者全面了解、管理企业内部网络安全状态，珍惜企业安全。

   

   

   

   8. 建议企业用户通过分析企业内外网络边界的网络流量，使用御界高级威胁检测系统检测未知威胁，感知缺陷的行使和攻击。(详情链接:https://s.tencent.com/product/gjwxjc/index.html）

   

       

   

   0x4 勒索自救    

   

   如果用户文档不幸被勒索病毒加密，腾讯计算机管家勒索病毒搜索引擎可以用来寻找已知的自助过程。计算机管家搜索引擎覆盖了国内外280多个勒索病毒家族的相关信息，可以解密100多种勒索病毒。受害者加密的文件可以由部门进行实验解密。https://guanjia.qq.com/pr/ls/

   

       

   

   
   

腾讯电脑管家推出陪伴你的孩子计划，引导孩子健康安全上网