首页 > 安全资讯 > 正文

大型春节作妖现场

  春节将至。在这个至少三代人参与的寒暄竞技场里,各大回城青年必然要夹起往日高高翘起的小尾巴,配合及时送上红包的肢体语言,方能从“背井离乡”的坑中爬出,顺利跳上“衣锦还乡”的高台。

  只是人生之不如意十有八九——你躲得过七大姑八大姨的灵魂拷问,躲得过老妈随时在手的鸡毛掸子,却未必能躲过这个趁着过年更新,实行一对一加密以敲诈钱财的勒索病毒。

  近期,360安全大脑监控到一款GarrantyDecrypt勒索病毒的新变种在国内传播,通过RSA结合salsa20对文件进行加密,被加密的文件后缀会被修改为“.NOSTRO”,该勒索病毒主要利用爆破远程桌面弱口令,登录远程后手动投毒扩散自身。

  对勒索病毒来说,加密文件可是他们最大的“致富经”,这个技能是否满点可实实在在地决定着钱袋子的大小。在这个环节上,GarrantyDecrypt可以说是个资深专家。


“一次一密,全盘上锁”


  首先在密钥处理上,就能看出作者的“稳、狠、准”——采用Crypto系列函数随机生成密钥对,这样一来一个文件就对应一个密钥;不仅如此,到手之后它还会立即销毁内存中的密钥,防止用户从中dump出密钥信息。

  此外,在加密文件类型上的选择上,GarrantyDecrypt勒索病毒也是个硬瓷儿。一般来说,常见的勒索病毒都会指定一个文件类型的范围,只对范围内的文件进行加密。GarrantyDecrypt可不做这个判断——它会将所有类型的普通文件都进行加密。排除列表只包括5个目录和病毒自己产生的一些文件,同时还排除了一些被占用的和系统属性的文件。

“有的放矢,速战速决”


   有趣的是,在这种“一锅端”式的加密操作下,该勒索病毒还抽空“因材施教”了一下。若是检测到文件类型是“.txt”,则会对其全文进行加密,其他扩展名的文件则只加密头部的前1024个字节的内容。据我司安全专家分析,这一套“有的放矢”的作战方式,大抵是作者希望在保证勒索病毒破坏力的前提下,尽可能对加密速度进行优化,这一点在文件加密算法的选择上也得到了印证。

   针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此360安全大脑给各位管理员一些建议:

  1.  多台机器,不要使用相同的账号和口令

  2.  登录口令要有足够的长度和复杂性,并定期更换登录口令

  3.  重要资料的共享文件夹应设置访问权限控制,并进行定期备份

  4.   定期检测系统和软件中的安全漏洞,及时打上补丁。

  5.   定期到服务器检查是否存在异常。查看范围包括:

  •      a)    是否有新增账户

  •      b)    Guest是否被启用

  •      c)     Windows系统日志是否存在异常

  •      d)     杀毒软件是否存在异常拦截情况




360安全卫士

热点排行

用户
反馈
返回
顶部