PLC 工控機(jī) 嵌入式系統(tǒng) 人機(jī)界面 工業(yè)以太網(wǎng) 現(xiàn)場(chǎng)總線 變頻器 機(jī)器視覺(jué) DCS PAC/PLMC SCADA 工業(yè)軟件 ICS信息安全 應(yīng)用方案 無(wú)線通訊
青島匯信互聯(lián)技術(shù)有限公司
會(huì)員1.png)
青島匯信互聯(lián)技術(shù)有限公司
閱讀:13發(fā)布時(shí)間:2023-3-12
近日,匯信又有收到不少客戶的反映稱,又開(kāi)始大面積傳播,且大部分殺毒軟件都無(wú)法攔截。于是,匯信在這里給大家準(zhǔn)備了關(guān)于的一些資料,供大家了解參考。
(!!文末附應(yīng)對(duì)方案!!)
,是一種新型電腦病毒,主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大,一旦感染將給用戶帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。
01傳播途徑
傳播素以傳播方式快,目標(biāo)性強(qiáng)著稱,傳播方式多見(jiàn)于利用“永恒之藍(lán)"漏洞、爆破、釣魚(yú)郵件等方式傳播。同時(shí)文件一旦被用戶點(diǎn)擊打開(kāi),進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。接下來(lái),利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒本人,其他人是幾乎不可能解密。加密完成后,還會(huì)修改壁紙,在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。且變種類型非常快,對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。
02攻擊對(duì)象
一般分兩種攻擊對(duì)象,一部分針對(duì)企業(yè)用戶(如xtbl,wallet),一部分針對(duì)所有用戶。
03病毒規(guī)律
該類型病毒的目標(biāo)性強(qiáng),主要以郵件為傳播方式。
文件一旦被用戶點(diǎn)擊打開(kāi),會(huì)利用連接至的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后,將加密公鑰私鑰寫入到注冊(cè)表中,遍歷本地所 有磁盤中的Office 文檔、圖片等文件,對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后,還會(huì)在桌面等明顯位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。
該類型病毒可以導(dǎo)致重要文件無(wú)法讀取,關(guān)鍵數(shù)據(jù)被損壞,給用戶的正常工作帶來(lái)了極為嚴(yán)重的影響。
04病毒分析
一般,運(yùn)行流程復(fù)雜,且針對(duì)關(guān)鍵數(shù)據(jù)以加密函數(shù)的方式進(jìn)行隱藏。以下為APT沙箱分析到樣本載體的關(guān)鍵行為:
1、調(diào)用加密算法庫(kù);
2、通過(guò)腳本文件進(jìn)行Http請(qǐng)求;
3、通過(guò)腳本文件下載文件;
4、讀取遠(yuǎn)程服務(wù)器文件;
5、通過(guò)wscript執(zhí)行文件;
6、收集計(jì)算機(jī)信息;
7、遍歷文件。
05樣本運(yùn)行流程
該樣本主要特點(diǎn)是通過(guò)自身的解密函數(shù)解密回連服務(wù)器地址,通過(guò)HTTP GET 請(qǐng)求訪問(wèn)加密數(shù)據(jù),保存加密數(shù)據(jù)到TEMP目錄,然后通過(guò)解密函數(shù)解密出數(shù)據(jù)保存為DLL,然后再運(yùn)行DLL(即勒索者主體)。該DLL樣本才是導(dǎo)致對(duì)數(shù)據(jù)加密的關(guān)鍵主體,且該主體通過(guò)調(diào)用系統(tǒng)文件生成密鑰,進(jìn)而實(shí)現(xiàn)對(duì)類型的文件進(jìn)行加密,即無(wú)需聯(lián)網(wǎng)下載密鑰即可實(shí)現(xiàn)對(duì)文件加密。
06應(yīng)對(duì)方案
感染后,對(duì)于政企機(jī)構(gòu)來(lái)說(shuō),最重要的就是怎么恢復(fù)被加密的文件了。一般來(lái)說(shuō),可以通過(guò)歷史備份、解密工具或支付贖金來(lái)恢復(fù)被感染的系統(tǒng)。但是這三種操作都有一定的難度,因此,建議受害者不要自行操作。
為防止用戶感染該類病毒,我們可以從安全技術(shù)和安全管理兩方面入手:
1、不要打開(kāi)陌生人或來(lái)歷不明的郵件,防止通過(guò)郵件附件的攻擊;
2、盡量不要點(diǎn)擊office宏運(yùn)行提示,避免來(lái)自office組件的病毒感染;
3、升級(jí)到的防病毒等安全特征庫(kù);
4、升級(jí)防病毒軟件到的防病毒庫(kù),阻止已存在的病毒樣本攻擊;
5、定期異地備份計(jì)算機(jī)中重要的數(shù)據(jù)和文件,萬(wàn)一中病毒可以進(jìn)行恢復(fù)。
匯信外貿(mào)軟件再次提醒您:
為了減小病毒造成的損失,一定要做好重要文件及數(shù)據(jù)的備份,并采用自動(dòng)備份和手動(dòng)備份相結(jié)合的方式進(jìn)行本地備份(服務(wù)器本機(jī)備份)和異地備份(移動(dòng)硬盤、其他電腦、云盤等)。
智能制造網(wǎng) 設(shè)計(jì)制作,未經(jīng)允許翻錄必究 .? ? ?
請(qǐng)輸入賬號(hào)
請(qǐng)輸入密碼
請(qǐng)輸驗(yàn)證碼