飞机飞行 发表于 2019-1-18 07:00

大型春节作妖现场

春节将至。在这个至少三代人参与的寒暄竞技场里,各大回城青年必然要夹起往日高高翘起的小尾巴,配合及时送上红包的肢体语言,方能从“背井离乡”的坑中爬出,顺利跳上“衣锦还乡”的高台。


只是人生之不如意十有八九——你躲得过七大姑八大姨的灵魂拷问,躲得过老妈随时在手的鸡毛掸子,却未必能躲过这个趁着过年更新,实行一对一加密以敲诈钱财的勒索病毒。

近期,360安全大脑监控到一款GarrantyDecrypt勒索病毒的新变种在国内传播,通过RSA结合salsa20对文件进行加密,被加密的文件后缀会被修改为“.NOSTRO”,该勒索病毒主要利用爆破远程桌面弱口令,登录远程后手动投毒扩散自身。

对勒索病毒来说,加密文件可是他们最大的“致富经”,这个技能是否满点可实实在在地决定着钱袋子的大小。在这个环节上,GarrantyDecrypt可以说是个资深专家。

“一次一密,全盘上锁”

首先在密钥处理上,就能看出作者的“稳、狠、准”——采用Crypto系列函数随机生成密钥对,这样一来一个文件就对应一个密钥;不仅如此,到手之后它还会立即销毁内存中的密钥,防止用户从中dump出密钥信息。

此外,在加密文件类型上的选择上,GarrantyDecrypt勒索病毒也是个硬瓷儿。一般来说,常见的勒索病毒都会指定一个文件类型的范围,只对范围内的文件进行加密。GarrantyDecrypt可不做这个判断——它会将所有类型的普通文件都进行加密。排除列表只包括5个目录和病毒自己产生的一些文件,同时还排除了一些被占用的和系统属性的文件。

“有的放矢,速战速决”

   有趣的是,在这种“一锅端”式的加密操作下,该勒索病毒还抽空“因材施教”了一下。若是检测到文件类型是“.txt”,则会对其全文进行加密,其他扩展名的文件则只加密头部的前1024个字节的内容。据我司安全专家分析,这一套“有的放矢”的作战方式,大抵是作者希望在保证勒索病毒破坏力的前提下,尽可能对加密速度进行优化,这一点在文件加密算法的选择上也得到了印证。

   针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此360安全大脑给各位管理员一些建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.   定期检测系统和软件中的安全漏洞,及时打上补丁。
5.   定期到服务器检查是否存在异常。查看范围包括:
   a)    是否有新增账户
   b)    Guest是否被启用
   c)   Windows系统日志是否存在异常
   d)   杀毒软件是否存在异常拦截情况


来源 360安全卫士

tan7177 发表于 2019-1-18 09:55

需要非常高度的安全管理能力才能防御!!!{:4_95:}{:4_95:}{:4_95:}

muzb 发表于 2019-1-18 10:57

{:15_452:}{:15_449:}

潭深千尺 发表于 2019-1-18 19:45

欣赏分享学习。
页: [1]
查看完整版本: 大型春节作妖现场