<address id="5xtlb"><dfn id="5xtlb"></dfn></address>
<sub id="5xtlb"><var id="5xtlb"><ins id="5xtlb"></ins></var></sub>

    <thead id="5xtlb"><var id="5xtlb"><ruby id="5xtlb"></ruby></var></thead>

    <span id="5xtlb"><track id="5xtlb"><big id="5xtlb"></big></track></span>
      <thead id="5xtlb"></thead>
    <sub id="5xtlb"></sub>

      <sub id="5xtlb"><var id="5xtlb"></var></sub><address id="5xtlb"><var id="5xtlb"></var></address>

        <sub id="5xtlb"><dfn id="5xtlb"></dfn></sub>

        <font id="5xtlb"><var id="5xtlb"><output id="5xtlb"></output></var></font>

        返回頂部
        隱藏或顯示

        新聞動態

        News

        深信服,讓IT更簡單、更安全、更有價值

        警惕勒索病毒,互聯網時代的新型敲詐行為

        / 2016-03-26

        近日,Locky勒索病毒愈演愈烈,國內相繼有很多家大中型企業、政府單位內部員工或高層領導的電腦、手機感染了該病毒,導致重要文件被加密,需要繳納贖金才能恢復正常。

        這不但影響了組織正常的業務運行,同時還給組織和個人帶來了不小的經濟損失。深信服建議各單位的IT部門予以重視和做好防范措施!

        從深信服應急響應中心監測到的情況來看,很多感染病毒的終端中都有不少業務運營、財務報表、軟件代碼等重要的數據文件,危害很大。

        這類病毒一般是通過郵件方式進行傳播,黑客對目標對象發送帶有附件的惡意郵件,員工或者領導一旦打開附件后,電腦、手機上的各種重要文件,包括軟件源代碼、Word、PPT、PDF、圖片等都會被加密,無法正常使用。

        此外,黑客還會公然修改終端的背景圖片,提出勒索要求,需要員工繳納數千元不等的贖金才能恢復這些文件。

        目前,深信服已成功提取了數十萬病毒特征,用戶只需要升級NGAF最新的安全特征庫,就能夠有效地攔截95%以上的Locky病毒入侵行為。建議各行業用戶及時做好防范應對措施,避免不必要的經濟和業務損失,更多應對對策,詳見下文!

        什么是Locky勒索病毒

        根據深信服安全專家的研究,Locky勒索病毒主要以郵件和惡鏈木馬的形式進行傳播。勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟件樣本,以躲避查殺和分析。

        接下來,勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器,進而上傳本機信息并下載加密公鑰。

        然后,將加密公鑰寫入到注冊表中,遍歷本地所有磁盤中的Office 文檔、圖片等文件,對這些文件進行格式篡改和加密;

        加密完成后,還會在桌面等明顯位置生成勒索提示文件,指導用戶去繳納贖金(一般為比特幣)。


        某被勒索電腦界面

        病毒分析

        深信服安全團隊通過對郵件傳播的locky進一步分析,發現郵件附件中內容實為js腳本,由于腳本被進行了混淆處理,無法直觀查看腳本功能,其中部分腳本內容為:

        可以發現,腳本從指定url處下載勒索病毒,重命名放置在temp目錄下后運行該勒索病毒。

        勒索病毒運行后從C&C服務器中下載加密密鑰,如下圖:


        隨后勒索軟件遍歷所有盤符中的文件并對源碼文件(.c、.cpp、.h等)、圖片文件、壓縮文件、officepdf等等多種文件進行加密處理。加密完成后勒索軟件通過 Vssadmin.exe Delete Shadows /All /Quiet 命令刪除所有數據備份,防止通過本地恢復。

        應對方案與建議

        深信服安全團隊自20154月份開始就監測到勒索類病毒的危害行為,并持續對大量的病毒樣本進行跟蹤研究,已成功提取了數十萬病毒防御特征,用戶只需要升級NGAF安全特征庫,就能夠有效地防止95%以上的Locky病毒入侵,如果內網已經被該類病毒感染,深信服NGAF還能夠迅速定位感染終端,并防止病毒擴散。

        目前,要想解密被較為高級的勒索病毒加密后的文件,除了交比特幣外,基本別無他法。例如這次的locky,目前業界還沒有解密辦法,所以只能盡量防止用戶感染該類病毒,我們可以從安全技術和安全管理兩方面入手:

        1、不要打開陌生人或來歷不明的郵件,防止通過郵件附件的攻擊方式;

        2、盡量不要點擊office宏運行提示,避免來自office組件病毒感染;

        3、需要的軟件從正規(官網)途徑下載,不要雙擊打開.js、.vbs等后綴名文件;

        4、升級深信服NGAF到最新的防病毒等安全特征庫;

        5、升級企業防病毒軟件到最新的防病毒庫,阻止已存在的病毒樣本攻擊;

        6、定期異地備份計算機中重要的數據和文件,萬一中病毒可以進行恢復。

        如果您需要更專業的安全應急指導和防護手段,您可以聯系深信服的安全應急服務中心,申請免費、專業的應急咨詢,為您的IT系統提供安全保障!

        聯系方式:

        0731-88726841

        ©2000-2020    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

        粵公網安備

        粵公網安備44030502002384號

        德扑圈app最新版