存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务
本月,威尼斯wns8885556安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的感染量比上个月有所增长,主要活动的家族有Phobos、TellYouThePass、BeijingCrypt等。
本月国内遭受勒索病毒攻击的地区分布图如下所示,数字经济发达地区仍是攻击的主要对象。
从行业划分来看,数据价值较高的教育、互联网、医疗、制造业等行业为勒索病毒攻击的主要目标。
下图是威尼斯wns8885556第59号实验室对勒索病毒监测后所计算出的5月份勒索病毒家族流行度占比分布图。Phobos家族占比21%居首位,TellYouThePass家族占比16%位居第二,BeiJingCrypt家族以12%位居第三,均为过往的流行家族。
勒索病毒传播方式
下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出,勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。
Phobos勒索软件从2019年开始在全球流行,并一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。
Tellyouthepass勒索病毒出现于2020年7月,主要以集成各种漏洞利用工具来进行传播,曾经利用过MS16-032内核提权、“永恒之蓝”等漏洞,在2021年底Apache Log4j2组件漏洞曝光后,迅速集成了武器库,发动了大批量的攻击。
BeijingCrypt勒索家族最早出现于2020年7月初,主要通过暴力破解远程桌面口令后手动投毒。该病毒早期传播因修改文件后缀为“.beijing”而被命名为BeijingCrypt,之后出现的变种会将被加密文件后缀修改为“.520”和“.360”。攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。
位于浙江的某企业称其在遭到勒索病毒攻击。该企业在发现攻击后关闭了其所有IT系统,以防止攻击蔓延。经过排查,被感染的机器中的所有文件都被添加了“.halo”后缀,并且已无法正常打开,通过后缀可确定该病毒为BeijingCrypt勒索病毒家族旗下的病毒变种。
在线点评:
1.勒索病毒通常通过电子邮件、恶意软件下载、漏洞利用和恶意广告等方式传播。
2.BeijingCrypt在完成数据加密后,会显示一个勒索信息,要求用户支付一定数量的加密货币才能恢复文件。
本月,陕西某企业宣布遭遇网络攻击。在网络攻击期间,黑客设法获得对内部域管理的控制权后,在多台服务器上安装了Mallox勒索软件,并添加了“.mallox”扩展名。该公司内部消息人士称,此次攻击影响了部分服务的运行。
在线点评:
2.Mallox 勒索病毒混合应用了Chacha20和AES-128算法,可在短时间内加密主机中的文件。
TellYouThePass勒索软件团伙攻击国内某企业,并要求提供高额的赎金以解密文件。攻击者对多台服务器进行了加密,其中包括了一台重要的文件服务器。TellYouThePass勒索软件会将数据库、文档等重要文件进行加密,并添加“.locked1”后缀,严重危害业务安全。
在线点评:
2.Tellyouthepass 勒索病毒从 2020 年开始活跃,早期利用永恒之蓝漏洞攻击套件扩散传播,之后通过 Log4j2 漏洞、OA 漏洞等进行大面积扫描扩散传播,针对 Windows 和 Linux 实现双平台勒索,该家族多次活跃直接导致国内多企业大面积业务停摆。
(一)隔离中招主机
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
(三)联系专业人员
面对严峻的勒索病毒威胁态势,威尼斯wns8885556第59号实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。
⑨ 部署威尼斯wns8885556数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。
⑩ 安装诺亚防勒索软件,防御未知勒索病毒。
为了更好地应对已知或未知勒索病毒的威胁,威尼斯wns8885556通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。
威尼斯wns8885556诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加统一的异常后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。
官方订阅号
官方服务号
第59号
浙公网安备 33010502006954号 
