幽靈勒索病毒再度來襲,加密上百種常用文件

2月1日雷鋒網消息,騰訊御見威脅情報中心監測發現,從2018年10月份開始惡意JS電子郵件附件數量持續增長。經分析發現,攻擊者通過發送釣魚郵件,誘導受害者打開並運行附件中的惡意JS腳本,進而下載Shade(幽靈)勒索病毒。

該勒索病毒會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點,之後再通過這些被入侵的站點繼續傳播Shade(幽靈)勒索病毒。截止目前,已有超過2000個CMS站點遭到入侵。

註:cms站點是被業內廣泛使用的內容管理系統,企業或個人可通過CMS系統創建自己的博客、知識庫、社區、論壇等內容網站。

Shade(幽靈)勒索病毒首次出現於2014年末,針對Windows操作系統,它主要通過Axpergle和Nuclear漏洞攻擊包、釣魚郵件等進行分發。歷史版本加密文件後綴有「.da_vinci_code」、「.magic_software_syndicate」、「.no_more_ransom」、「.dexter」。而本次發現的病毒版本為v4.0.0.1,加密文件後會添加「. crypted000007」後綴。

該版本的Shade(幽靈)勒索病毒具有如下特點:

1、加密jpg,jpeg,png,xls,xlsx,doc,docx,ppt,txt,mp3,mp4,mov等上百種常用類型的數據文件,不影響系統的正常運行;
2、檢查文件是否已經被加密,避免重複加密;
3、刪除卷影信息,刪除備份相關文件;
4、設置受害者的電腦桌面背景,英俄雙語提示受害者文件已經被勒索;
5、在受害者的電腦桌面上,創建了10個內容相同的文件README1.txt,... README10.txt,文件中分別用英俄雙語引導受害者通過郵件或者Tor網絡與攻擊者聯繫解密;
6、所有C2服務器都位於Tor網絡上;
7、該版本的Shade(幽靈)勒索病毒樣本,絕大多數被存放在被攻陷的wordpress站點上,並偽裝成jpg和pdf文件;
8、下載CMSBrute(CMS暴力破解者)模塊入侵安全係數相對較低的wordpress等CMS站點,攻陷的站點將作為Shade(幽靈)勒索病毒的樣本分發服務器。

Shade(幽靈)勒索病毒的攻擊流程大致如下圖所示:

安全專家建議企業用戶,

1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸。

2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。

3、採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議服務器密碼使用高強度且無規律密碼,並且強制要求每個服務器使用不同密碼管理。

4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊後作為跳板進一步攻擊其他服務器。

5、對重要文件和數據(數據庫等數據)進行定期非本地備份。

6、教育終端用戶謹慎下載陌生郵件附件,不要隨意點擊運行或打開附件中未知的文件。

7、在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。

對於個人用戶來說,勿隨意打開陌生郵件,或運行郵件附件中的未知文件,同時關閉Office執行宏代碼,最重要的是及時備份數據文檔。 

來源:騰訊御見威脅情報中心


想在手機閱讀更多Wordpress資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems