服务热线:

4000346119

摄像头安装,监控维保,监控维修 北京监控安装公司

可根据客户不同的需要,提供个性化解决方案

新闻资讯
新闻资讯
联系我们

电话: 4000346119

邮箱: 506665119@qq.com

地址: 北京通州区新华北路117号

监控知识

北京安全监控公司:对“一片王”多种病毒的预警

作者:亿杰监控安装点击: 发布时间:2020-08-02

北京安全监控公司:Crysis勒索病毒“一体王”变种预警

广东省网络安全应急平台技术支持部门深信,安全部门最近追踪到了Crysis讹诈病毒家族的最新变种“一体之王”,在企业网络安全保护薄弱时期攻击多个用户。RDP被用来破解入侵加密。由于最近新的冠状病毒流行造成恢复工作困难,企业用户在被讹诈病毒加密后很难立即响应和加固,造成巨大损失。讹诈病毒变体界面是“盗版”标志,黑客的联系邮箱是“wang_team888@aol.com”。其中的“王”被怀疑代表了中文单词“王”,加密文件的后缀被改为“ROGER”,即传说中的“一片”:02警报摘要03详细分析从各种特征来看,它似乎是一个新的勒索病毒。然而,经过深信不疑的安全专家的深入分析,发现病毒样本实际上是臭名昭著的Crysis讹诈病毒家族的最新变种。安全专家从这次发现的病毒文件中提取了相关的有效载荷,并将其与Crysis勒索病毒文件的有效载荷进行了比较。代码相似性极高,可以确定是Crysis家族的变种:Crysis最早于2016年6月被外国安全专家发现,并增加了勒索功能。2017年5月万能钥匙发布后,它消失了一段时间,此后一直非常活跃。攻击方法主要是将远程RDP爆炸力破解方法植入用户的服务器进行攻击。由于加密系统使用的是AES RSA加密方法,目前无法解密。Crysis的勒索界面标志通常是一个“锁”图标。然而,这个发现的变体的讹诈界面风格与以前的变体相比已经有了很大的改变。以下是之前变体的讹诈界面:详细分析表明这次捕获的Crysis与之前的样本一致,其整体功能流程如下:1 .病毒首先将自身复制到以下目录:%windir%\ System32% appdata%% sh(启动)% sh(普通启动)% 2。将复制的病毒文件设置为自启动项目:3。调用cmd命令删除磁盘映像,以防止通过数据恢复来还原文件。以下内容:4 .枚举服务并结束以下服务:Windows updatewauserwindows searchasecurity CenterWSCSWMI性能适配器5。枚举进程并结束以下进程:1C8。ExOutLook . ExePostGr Exe MySQL d-nt . exemysql d . exesql server . Exe 6 .遍历局域网共享目录并加密:7。遍历本地磁盘并加密:8。加密带有特定后缀的文件,包括“. 1cd”、“3ds”、“3fr”等。如下:9。加密文件的后缀是:id-8ecf3b49。王。收到,如下:10。弹出勒索信息界面,设置为自启动注册表项,如下图:04影响范围目前,发现江苏、湖南等地企业受到攻击。05解决方案病毒防御目前,大多数加密的勒索病毒文件无法解密。对于已经遭受敲诈的用户,建议尽快断开受感染主机的连接,因为目前没有解密工具。日常预防措施:1。及时修补计算机以修补漏洞。2.重要数据文件的定期非本地备份。3.不要点击来源不明的电子邮件附件或从未知网站下载软件。4.尝试关闭不必要的文件共享权限。5、更改账户密码,设置强密码,避免使用统一密码,因为统一密码会导致破解,很多人遭殃。6.如果商业上不需要RDP,建议关闭RDP。当此类事件发生时,建议使用深度和令人信服的防火墙或终端检测响应平台(EDR)的微隔离功能来阻止3389和其他端口,以防止扩散!7.防火墙打开防爆功能,规则11080051、11080027和11080016被激活。EDR打开防爆功能来防止它。

最后,建议企业对整个网络进行安全检查和防病毒扫描,加强防护工作。深信安全性为用户提供了免费的查杀工具,可以下载以下工具进行检测和查杀。64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z32-bit系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


相关标签:
新闻资讯
相关产品
在线客服
联系方式

热线电话

4000346119

上班时间

周一到周五

公司电话

4000346119

二维码
线