最新病毒库日期:
  • 新型 “无文件” 勒索软件来袭 建议提前做好防御措施
2017-06-20 17:30 来源:未知
【文章摘要】安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect,隐藏性极高,建议用户提高警惕。
安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect,允许黑客将恶意代码隐身注入目标系统中的合法进程(svchost.exe)并终止其二进制代码以规避安全机制检测,还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。
勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务器中。与其他勒索软件不同的是,Sorebrect 专门针对各个行业企业系统注入恶意代码,以便在本地系统和共享网络中加密文件。
与传统的勒索病毒不同,Sorebrect主要针对企业的服务器和终端。病毒会同时感染本地文件和网络共享上的文件,对这些文件进行加密。
Sorebrect 勒索软件首先会破坏管理员凭据, 然后使用微软的Sysinternals PsExec 命令行实用程序对文件进行加密。虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单。PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。
可感染网络共享中的文件
Sorebrect同时可以扫描网络上其他计算机的共享文件并锁定这些文件。如果网络上其他计算机的某个共享,被设置为任何人都有读写访问权限, 那么该共享的文件也将遭到加密。
全球范围内广泛传播
调查显示,研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后,他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。江民科技安全专家建议用户限制 PsExec 权限、主动备份文件,实时更新系统与网络安全机制(如防病毒软件、防病毒网关)以防止遭受攻击。
如何防范?
由于勒索软件会在受感染的计算机上使用wevtutil.exe删除所有事件日志,并使用vssadmin删除所有卷影副本,这会增加病毒发现查杀的难度,江民反病毒专家建议企业系统管理员和安全工程师可以采取下列方法进行防范:
1、限制用户的读写权限:如果将所有权限随意授予给普通用户,会使网络共享存在较大风险,因此需要授予不同用户不同的权限。
2、限制PsExec的权限: 限制PsExec, 并且只允许系统管理员运行它们。
3、定期更新操作系统及应用软件: 始终保持操作系统、应用程序以及防病毒软件的更新。安装江民网络防病毒软件的用户可以更新最新病毒库并进行全网推送。
4、定期进行数据备份: 对所有重要的文件和文档进行定期备份,将数据备份到不经常连接计算机的外部存储设备。
5、培养员工的安全意识:对员工进行恶意软件、威胁情报和安全措施的培训,这一点也同样至关重要。