2017 年 7 月 19 日��,國內(nèi)網(wǎng)友在安適論壇上反饋,本身的辦事器中了勒索病毒����,所有的文件均被加密�,文件后綴名被修改為“skunk”����。經(jīng)瑞星安適專家調(diào)查分析發(fā)現(xiàn)是感染了Ransom.Globelmoster勒索病毒。
瑞星安適人員體現(xiàn)����,此病毒早在 7 月 10 日便已收錄進瑞星病毒庫�����,�����,瑞星所有安適產(chǎn)品只要將版本升級到最新便可對其攔截��。同時�����,作為全球首創(chuàng)的可以攔截已知和未知勒索病毒的“瑞星之劍”無需升級便可直接對其進行攔截。
瑞星安適人員介紹�,此次網(wǎng)友反饋的勒索病毒事件可能是用戶的辦事器存在漏洞或是弱口令�����,被黑客拿到了辦理員權(quán)限,然后植入該病毒。因此�����,廣大企業(yè)用戶應(yīng)謹(jǐn)慎對待,制止遭受勒索病毒攻擊����?��?稍谵k事器中安置瑞星之劍,既可以防御病毒攻擊��,同時不會對辦事器造成任何影響��。
“瑞星之劍”是瑞星全球首創(chuàng)針對已知與未知勒索病毒的防御軟件,既不影響正常工作又不影響系統(tǒng)性能����,用戶無需進行關(guān)閉系統(tǒng)正常辦事端口�����、打補丁��、開啟防火墻等操作��,便可實現(xiàn)全防御的效果����,可供廣大政府��、企業(yè)和有定制化業(yè)務(wù)系統(tǒng)的用戶直接使用。
“Globelmoster”勒索病毒變種詳細(xì)分析
1���、病毒運行后從資源中解密出加密生成文件的后綴名,和提示文件名
2���、將自身拷貝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目錄中
3、釋放批處理文件并執(zhí)行
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
4����、結(jié)束指定進程
5��、跳過指定路徑不加密
6、全盤加密文件
7�、生成提示頁面
8�����、總結(jié)
論壇用戶反饋的病毒樣本就為一存粹加密器,沒有感染模塊����。用戶辦事器中毒有可能是辦事器上面存在漏洞或者弱口令���,被黑客種植該樣本勒索。
9���、防御方法
自查辦事器,看辦事器上面提供的辦事是否存在漏洞����,辦事器系統(tǒng)補丁連結(jié)更新��,按期修改辦理員賬號密碼,安置瑞星之劍和防病毒軟件按期掃描病毒�����。
